Adobe Flash Player ligt onder vuur, zowel door cybercriminelen die de afgelopen periode verschillende zero day-lekken in de software ontdekten en gebruikten om internetgebruikers mee aan te vallen, als partijen als Google en Mozilla die alternatieven ontwikkelen. Zo kondigde Google onlangs aan dat het standaard HTML5 gebruikt om video's op YouTube weer te geven en zet het Flash-advertenties nu om naar HTML5. Mozilla werkt daarnaast aan Shumway, een alternatief voor Flash Player in Firefox.
Toch is Flash Player de meestgebruikte browserplug-in op internet. In 2011 stelde Adobe nog dat 99% van alle computers aangesloten op internet Flash Player had geïnstalleerd. Nu claimt het softwarebedrijf dat Flash op meer dan 1 miljard desktops aanwezig is. De plug-in is daarmee een aantrekkelijk doelwit voor cybercriminelen, zoals begin dit jaar duidelijk werd. In korte tijd werden er twee zero day-lekken in Flash Player gebruikt om internetgebruikers aan te vallen. Volgens anti-virusbedrijf Trend Micro een zorgelijke ontwikkeling, omdat zero day-lekken voorheen vooral bij gerichte aanvallen tegen speciale doelwitten werd ingezet.
Vanwege het beveiligingsrisico bespreken we in dit artikel alternatieven voor Flash Player en hoe je Flash Player op een Windowscomputer op een veiligere manier kunt gebruiken als je niet zonder de plug-in kunt.
Bij elke plug-in die met de browser werkt is het belangrijk om te bepalen of die echt noodzakelijk is. Daarnaast kan er bijvoorbeeld in het geval van een zero day-aanval worden geadviseerd om de plug-in te verwijderen. In het geval van Flash Player zijn er twee versies van de plug-in die gebruikers kunnen installeren, namelijk een ActiveX Control voor Internet Explorer en een Flash Player plug-in voor andere browsers, zoals Firefox. Via het Windows Startmenu > Configuratiescherm > Programma's en onderdelen kan worden gekeken of en welke versies geïnstalleerd zijn.
In het geval van Google Chrome en Internet Explorer 10 en 11 op Windows 8 en 8.1 wordt er van een embedded Flash Player gebruik gemaakt en geen los geïnstalleerde browserplug-in. In dit geval zal Flash Player niet in het overzicht van geïnstalleerde software zijn te vinden.
Naast het verwijderen van de los geïnstalleerde Flash Player-plug-in kan die ook in de browser worden uitgeschakeld. Dit geeft meer flexibiliteit, maar brengt het risico met zich mee dat gebruikers vergeten de plug-in, nadat ze die hebben gebruikt, weer uit te schakelen.
Flash Player uitschakelen in Internet Explorer
Ga naar Opties > Invoegtoepassingen beheren > Selecteer nu Shockwave Flash Object en kies rechtsonder "Uitschakelen".
Flash Player uitschakelen in Google Chrome
Tik in de adresbalk "chrome://plugins". Nu verschijnt er een overzicht van geïnstalleerde plug-ins. Klik bij Adobe Flash Player op "Uitschakelen".
Flash Player uitschakelen in Firefox
Gebruik de toetsencombinatie Shift+Ctrl+A om de Add-onbeheerder te openen. Ga vervolgens naar Plug-ins. Kies nu bij Shockwave Flash de optie "Nooit activeren".
Vanwege het beveiligingsrisico van kwetsbare browserplug-ins hebben Google, Microsoft en Mozilla een optie toegevoegd genaamd Click to Play. In dit geval is er een extra muisklik vereist voordat een website een browserplug-in kan aanroepen. In het geval van bijvoorbeeld een Flash Player-filmpje zal de video pas na deze muisklik met spelen beginnen. Click to Play is eenvoudig in te stellen of aan te passen.
Click to Play in Internet Explorer
Ga naar Opties > Invoegtoepassingen beheren > Dubbelklik nu op Shockwave Flash Object > Kies nu "Alle websites verwijderen" en kies sluiten. Het sterretje * dat er stond zal zijn verwijderd. Als er nu een pagina wordt geladen die Flash Player aanroept moet hier apart toestemming voor worden gegeven.
Click to Play in Google Chrome
Tik in de adresbalk "chrome://settings/content". Scroll vervolgens naar Plug-ins en selecteer "Klikken om te spelen".
Click to Play in Firefox
Gebruik de toetsencombinatie Shift+Ctrl+A om de Add-onbeheerder te openen. Ga vervolgens naar Plug-ins. Kies nu bij Shockwave Flash de optie "Vragen om te activeren".
Een geduchte concurrent voor Flash Player is HTML5. Deze technologie wordt inmiddels door alle moderne browsers ondersteund en maakt het mogelijk om online video's zonder aanvullende plug-ins te bekijken. Het wordt echter nog niet door alle websites ondersteund. Google liet onlangs echter weten dat het voortaan video's op YouTube eerst als HTML5 zal aanbieden, voordat de Flash Player-versie wordt aangeboden. Niet veel later kwam Google met het nieuws dat het Flash-advertenties automatisch naar HTML5 omzet.
Advertenties zijn een veelgebruikte manier om internetgebruikers aan te vallen. Cybercriminelen slagen erin om kwaadaardige advertenties op populaire websites te tonen. Deze advertenties bevatten code die gebruikers, zonder dat ze het merken, naar een website doorsturen met een exploitkit. Deze exploitkit probeert vervolgens via lekken in de browser, het besturingssysteem of geïnstalleerde plug-ins malware op de computer te plaatsen.
Het is echter niet zo dat de Flash-advertentie de exploit bevat. "De meeste malvertising-aanvallen vinden plaats via een aantal redirects die door een kwaadaardige advertentie worden aangeroepen, wat meestal een Flash-bestand is", zegt Jerome Segura van anti-virusbedrijf Malwarebytes tegenover Security.NL. De aanvallers gebruiken Flash vanwege de ingebouwde mogelijkheden, zoals ActionScript. Daarmee is het mogelijk om aan een advertentie een script toe te voegen dat ervoor zorgt dat de browser een externe pagina laadt, waardoor de gebruiker uiteindelijk naar een exploitkit wordt geleid waar een echte Flash Player-exploit wordt gebruikt.
Volgens Segura zal de beslissing van Google om advertenties naar HTML5 om te zetten zowel legitieme als kwaadaardige adverteerders beïnvloeden, maar blijft de kern van het probleem hetzelfde. "Zolang de technologie scripting mogelijk maakt kan het voor zowel goed als kwaad worden gebruikt." De onderzoeker verwacht dat aanvallers de komende tijd het Flash-formaat nog zullen blijven gebruiken, maar als HTML5 de standaard wordt ze hierop zullen overstappen en ook naar kwetsbaarheden zullen zoeken om te gebruiken.
Voor wie geen Flash Player gebruikt en HTML5 bijvoorbeeld heeft uitgeschakeld is er toch nog een optie om online video's te bekijken. De populaire mediaspeler VLC Media Player ondersteunt namelijk het afspelen van allerlei videoformaten, waaronder video's direct van YouTube. In dit geval moet er via Ctrl+N een netwerklocatie worden opgegeven, waar vervolgens de link naar de YouTube-video kan worden geplakt. VLC zal nu de video afspelen. Bij andere websites die bijvoorbeeld online video aanbieden is het vaak mogelijk om in de broncode van de pagina de locatie van het videobestand te vinden, bijvoorbeeld door naar .mp4 of .flv in de code te zoeken. Door de link weer als netwerklocatie op te geven kan de video in VLC worden bekeken. Dit is inderdaad omslachtig, maar voorkomt eventuele aanvallen via zowel Flash Player als HTML5. Wie een browser zonder plug-ins wil moet bij de installatie van VLC er wel op letten dat de browserplug-ins van VLC niet worden geïnstalleerd.
Een andere maatregel die Flash-gebruikers kunnen nemen is het installeren van de Microsoft Enhanced Mitigation Experience Toolkit (EMET). EMET voegt een beveiligingslaag aan Windows en geïnstalleerde programma's toe. Flash Player wordt daarbij standaard al ondersteund. Het wordt daardoor veel lastiger om zowel bekende als onbekende lekken aan te vallen. Twee jaar geleden vond er nog een onderzoek plaats waarbij EMET alle exploits wist te stoppen voor kwetsbaarheden waarvan de update niet door gebruikers was geïnstalleerd. Ook bij zero day-aanvallen waarvoor nog geen update beschikbaar is wordt EMET vaak aangeraden.
Aangezien veiligheid altijd een afweging is kan er bijvoorbeeld, in het geval Flash Player echt nodig is, een oplossing worden gekozen waarbij er met twee browsers wordt gewerkt. Een standaardbrowser zonder Flash Player voor normaal internetgebruik en een aparte browser voor online video. Door deze tweede browser met Click to Play te configureren en EMET te installeren kan de impact van een Flash Player-exploit worden verkleind. Als extra bonustip voor Flash Player-gebruikers is het handig om de "Aboutpagina" van Flash Player als startpagina te gebruiken. Op deze manier kan als eerste worden gecontroleerd of de geïnstalleerde Flash Player-versie wel up-to-date is voordat er andere websites worden bezocht.
Deze posting is gelocked. Reageren is niet meer mogelijk.