Privacy
- Wat niemand over je mag weten
Flash Installer Sneaky Feedback Mac OS X
09-12-2015, 21:55 door Anoniem, 8 reacties
Bij het installeren van Flashplayer 20 werd ik door mijn OS X systeem fijntjes geattendeerd op stiekem geïnstalleerde bestanden op de volgende locaties!
Een nieuw bestand als Laucndaemon genaamd FeedbackService?
What the .. ??
MacMalware (if any) installeert zichzelf ook graag in deze directory en zal zichzelf bij voorkeur ook als 'phone home service' beschrijven.
Nieuwsgierig geworden naar de inhoud gekeken.
De plist "com.adobe.SC.FPFeedbackService-1.0.plist" ziet er zo uit van binnen
Het feebackservicefile "FPFeedbackService" bevindt zich op de eerder aangegeven locatie
is 623 kb groot en gedateerd op 1 dec 2015 21:47
Benieuwd als 'hobby kijker', ;) , het file geopend maar zie vooral veel onleesbare code.
De laatste regel (2903) bevat wel wat leesbare tekst.
Nou, ja wat,.. plusminus 25 a 4 tjes !
In deze brij is 25x de regel beginnend met
Ik heb het sterke vermoeden dat hier omschreven staat wat er aan feedback terug 'moet' over de lijn naar Adobe (van Adobe).
-->> Wellicht is er hier onder de lezers iemand die wel kennis van zaken heeft van dit soort code?
Anyway, zoekend op het web kwam ik zowaar op een pagina waar dit ook werd omschreven.
Zij melden het volgende
Dat ziet er op zich onschuldig uit, als ik me niet vergis eigenlijk informatie die je browser zelf ook al standaard (?) weggeeft bij een website bezoek.
En daar zit hem de crux waarom ik het nog niet vertrouw.
Ik weet niet hoe het bij jou (hey) Mac gebruiker zit, maar ik heb eigenlijk nog nooit een werkende automatische updater van Adobe Flashplayer gezien.
Ook al zet je hem in het systeemvoorkeurenpanel op automatisch updaten, automatisch updaten doet het niet.
(Zou het aan het werken onder een standaard account liggen?)
Als je dan vervolgens (in het systeemvoorkeurenpaneel van Flashplayer) ervoor kiest om vanuit die voorkeuren dan handmatig naar updates te zoeken krijg je vervolgens een merkwaardige procedure voor je kiezen.
Je Mac controleert de versie die op je systeem staat en start een download van Flashplayer als er een nieuwere versie beschikbaar is.
Heb je hem dan binnen?
Nee, want als je die download daarna gaat installeren opent je webbrowser om vervolgens naar de Adobe website te gaan en dan ...
... jawel ....
Flashplayer te gaan downloaden.
Dan pas (?) de echte en definitieve.
'Lang' heb ik erover gedaan om te begrijpen/bedenken waarvoor dat nou goed zou (kunnen)zijn.
Ik denk dat dat is omdat er sinds enige tijd verschillende Flashplayer versies bestaan voor de verschillende browsers.
Door deze lus in te bouwen via de browser in de update procedure, kan Adobe dan inderdaad vaststellen welke Flashplayer versie het moet serveren.
(Maar wat dan als je eigenlijk allebei de soorten Flashplayers nodig hebt? Of komt dat niet voor omdat Chrome al een ingebouwde heeft?)
Logische (onhandige) update aanpak dus van Adobe (als de aanname klopt)?
Echter, je browser geeft al standaard allerlei systeem informatie weg dus waarom dan nog (stiekem) een apart phone home daemon-script installeren ?
Om die (laatste) reden vertrouw ik nog niet helemaal op het door osxbytes gegeven overzicht van functionaliteit.
Tja, wat kan je doen?
- je Adobe Flashplayer blacklisten in je uitgaande firewall zodat phone-home niet werkt
- nog niet geprobeerd en getest: weer verwijderen van beide files "FPFeedbackService" en "com.adobe.SC.FPFeedbackService-1.0.plist"
- ..
Nou, ja.
Het is maar dat je het weet, dat/wat Adobe ineens iets extra's op je systeem installeert en naar huis kan gaan bellen.
Macgroet,
/Library/LaunchDaemons/com.adobe.SC.FPFeedbackService-1.0.plist
/Library/Application\ Support/Adobe/FPFeedbackService
/Library/Application\ Support/Adobe/FPFeedbackService
Een nieuw bestand als Laucndaemon genaamd FeedbackService?
What the .. ??
MacMalware (if any) installeert zichzelf ook graag in deze directory en zal zichzelf bij voorkeur ook als 'phone home service' beschrijven.
Nieuwsgierig geworden naar de inhoud gekeken.
De plist "com.adobe.SC.FPFeedbackService-1.0.plist" ziet er zo uit van binnen
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.adobe.SC.FPFeedbackService-1.0</string>
<key>Program</key>
<string>/Library/Application Support/Adobe/FPFeedbackService</string>
<key>ProgramArguments</key>
<array>
<string>/Library/Application Support/Adobe/FPFeedbackService</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>Disabled</key>
<false/>
</dict>
</plist>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.adobe.SC.FPFeedbackService-1.0</string>
<key>Program</key>
<string>/Library/Application Support/Adobe/FPFeedbackService</string>
<key>ProgramArguments</key>
<array>
<string>/Library/Application Support/Adobe/FPFeedbackService</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>Disabled</key>
<false/>
</dict>
</plist>
Het feebackservicefile "FPFeedbackService" bevindt zich op de eerder aangegeven locatie
is 623 kb groot en gedateerd op 1 dec 2015 21:47
Benieuwd als 'hobby kijker', ;) , het file geopend maar zie vooral veel onleesbare code.
De laatste regel (2903) bevat wel wat leesbare tekst.
Nou, ja wat,.. plusminus 25 a 4 tjes !
In deze brij is 25x de regel beginnend met
/Volumes/Builds/jenkins/ws/St_Make/code/products/player/osx/../../../products/player/FeedbackService/../../../
te vinden en vervolgens voor mij onbegrijpelijke 'opdracht'code.Ik heb het sterke vermoeden dat hier omschreven staat wat er aan feedback terug 'moet' over de lijn naar Adobe (van Adobe).
-->> Wellicht is er hier onder de lezers iemand die wel kennis van zaken heeft van dit soort code?
Anyway, zoekend op het web kwam ik zowaar op een pagina waar dit ook werd omschreven.
osxbytes
Dec 09 2015
Flash Player 20.0.0.235 Adds Phone Home Analytics
https://osxbytes.wordpress.com/2015/12/09/flash-player-20-0-0-235-adds-phone-home-analytics/
Dec 09 2015
Flash Player 20.0.0.235 Adds Phone Home Analytics
https://osxbytes.wordpress.com/2015/12/09/flash-player-20-0-0-235-adds-phone-home-analytics/
Zij melden het volgende
# Following anonymous information is being collected from your machine.
# OS, OSType
- Operating System details
# UserAgent
- Browser details
# FlashVersion
- Installed Flash Player version
# RenderMode
- Represents the render mode of the SWF content.
# SWFVersions
- It is the list of SWF Versions played in browser and their count.
e.g. SWF10|23 means that SWF file having version 10 have been played 23 times.
# ASVersions
- It is the list of Action Script Versions associated to SWF files and their count.
e.g. AS2|10 means SWF file having Action Script Version 2 have been played 10 times.
# APIList
- The API List represents the collated API and its count in all played SWF files.
API names have been encoded to reduce the network traffic.
e.g. flash.display3D::Context3D will be encoded as 17.
and
User has disabled the service.Exiting.
Analytics Disabled.Exiting.
# OS, OSType
- Operating System details
# UserAgent
- Browser details
# FlashVersion
- Installed Flash Player version
# RenderMode
- Represents the render mode of the SWF content.
# SWFVersions
- It is the list of SWF Versions played in browser and their count.
e.g. SWF10|23 means that SWF file having version 10 have been played 23 times.
# ASVersions
- It is the list of Action Script Versions associated to SWF files and their count.
e.g. AS2|10 means SWF file having Action Script Version 2 have been played 10 times.
# APIList
- The API List represents the collated API and its count in all played SWF files.
API names have been encoded to reduce the network traffic.
e.g. flash.display3D::Context3D will be encoded as 17.
and
User has disabled the service.Exiting.
Analytics Disabled.Exiting.
Dat ziet er op zich onschuldig uit, als ik me niet vergis eigenlijk informatie die je browser zelf ook al standaard (?) weggeeft bij een website bezoek.
En daar zit hem de crux waarom ik het nog niet vertrouw.
Ik weet niet hoe het bij jou (hey) Mac gebruiker zit, maar ik heb eigenlijk nog nooit een werkende automatische updater van Adobe Flashplayer gezien.
Ook al zet je hem in het systeemvoorkeurenpanel op automatisch updaten, automatisch updaten doet het niet.
(Zou het aan het werken onder een standaard account liggen?)
Als je dan vervolgens (in het systeemvoorkeurenpaneel van Flashplayer) ervoor kiest om vanuit die voorkeuren dan handmatig naar updates te zoeken krijg je vervolgens een merkwaardige procedure voor je kiezen.
Je Mac controleert de versie die op je systeem staat en start een download van Flashplayer als er een nieuwere versie beschikbaar is.
Heb je hem dan binnen?
Nee, want als je die download daarna gaat installeren opent je webbrowser om vervolgens naar de Adobe website te gaan en dan ...
... jawel ....
Flashplayer te gaan downloaden.
Dan pas (?) de echte en definitieve.
'Lang' heb ik erover gedaan om te begrijpen/bedenken waarvoor dat nou goed zou (kunnen)zijn.
Ik denk dat dat is omdat er sinds enige tijd verschillende Flashplayer versies bestaan voor de verschillende browsers.
Door deze lus in te bouwen via de browser in de update procedure, kan Adobe dan inderdaad vaststellen welke Flashplayer versie het moet serveren.
(Maar wat dan als je eigenlijk allebei de soorten Flashplayers nodig hebt? Of komt dat niet voor omdat Chrome al een ingebouwde heeft?)
Logische (onhandige) update aanpak dus van Adobe (als de aanname klopt)?
Echter, je browser geeft al standaard allerlei systeem informatie weg dus waarom dan nog (stiekem) een apart phone home daemon-script installeren ?
Om die (laatste) reden vertrouw ik nog niet helemaal op het door osxbytes gegeven overzicht van functionaliteit.
Tja, wat kan je doen?
- je Adobe Flashplayer blacklisten in je uitgaande firewall zodat phone-home niet werkt
- nog niet geprobeerd en getest: weer verwijderen van beide files "FPFeedbackService" en "com.adobe.SC.FPFeedbackService-1.0.plist"
- ..
Nou, ja.
Het is maar dat je het weet, dat/wat Adobe ineens iets extra's op je systeem installeert en naar huis kan gaan bellen.
Macgroet,
Reacties (8)
Wat betreft die nieuwe LaunchDaemons Preflist en daaraan hangende applicatie kan ik niets zinnigs melden. Ik heb geen fFash meer geïnstalleerd. Ik kan me wel vaag voorstellen dat Adobe graag weet door welk OSX ondersteund je Flash gebruikt, zodat ze de aantallen van de gebruikte systemen kunnen implementeren in de ontwikkeling (sterfhuis) van Flash want dat is het treurig genoeg wel geworden.
Ik kan je slechts mijn werkwijze noemen die ik altijd toepaste voor een update nadat ik problemen ondervond met automatisch updaten. Bij benadering ondervond ik van hetzelfde laken en pak als wat jij beschrijft: auto-update werkte niet meer. Ik heb altijd vermoed dat het kwam door werken in een gebruikers/beheerders-account maar was te lui dat verder uit te zoeken, zeker nadat ik een work-around voor mezelf had:
Eerst de oude flash verwijderen https://helpx.adobe.com/nl/flash-player/kb/uninstall-flash-player-mac-os.html
scroll naar punt 2 voor de uninstaller download voor je OSX versie.
Pas nà een herstart, overblijvertje van classic, ;-) installeerde ik de nieuwe versie. https://get.adobe.com/nl/flashplayer/
Dit werkte bij mij vlekkeloos.
Nuttige link: https://www.adobe.com/nl/software/flash/about/
Ik kan je slechts mijn werkwijze noemen die ik altijd toepaste voor een update nadat ik problemen ondervond met automatisch updaten. Bij benadering ondervond ik van hetzelfde laken en pak als wat jij beschrijft: auto-update werkte niet meer. Ik heb altijd vermoed dat het kwam door werken in een gebruikers/beheerders-account maar was te lui dat verder uit te zoeken, zeker nadat ik een work-around voor mezelf had:
Eerst de oude flash verwijderen https://helpx.adobe.com/nl/flash-player/kb/uninstall-flash-player-mac-os.html
scroll naar punt 2 voor de uninstaller download voor je OSX versie.
Pas nà een herstart, overblijvertje van classic, ;-) installeerde ik de nieuwe versie. https://get.adobe.com/nl/flashplayer/
Dit werkte bij mij vlekkeloos.
Nuttige link: https://www.adobe.com/nl/software/flash/about/
Door Aha:
...
...
De-installeren van flashplayer voor updaten is helemaal niet nodig.
Run de volle echte installer en de flashplayer wordt bijgewerkt.
Vind hem hier
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-mac.html
Wat ook kan is deze link aanhouden
https://get.adobe.com/flashplayer/download/?installer=FP_20_Mac_for_Safari_and_Firefox_-_NPAPI&standalone=1
en steeds het versienummer veranderen, mits je wet welk versienummer actueel is.
Dat versienummer lees je hier op sedurity.nl of kan je bijvoorbeeld op wikipedia ;) opzoeken.
https://en.wikipedia.org/wiki/Adobe_Flash_Player
Met enige regelmaat je systeem uitzetten, wachten en daarna weer opstarten is zeker niets mis mee, beter zelfs om dat regelmatig te doen.
ontopic : Vanaf versie 20 dus ineens met extra (ongewenste) mothership spying functionaliteit.
ts
De analyse is een bug per https://osxbytes.wordpress.com/2015/12/09/flash-player-20-0-0-235-adds-phone-home-analytics/#comment-203
Chris Campbell is een Adobe werknemer.
Chris Campbell is een Adobe werknemer.
Door Anoniem: De analyse is een bug per https://osxbytes.wordpress.com/2015/12/09/flash-player-20-0-0-235-adds-phone-home-analytics/#comment-203
Chris Campbell is een Adobe werknemer.
Chris Campbell is een Adobe werknemer.
Dank voor de attentie,
de reactie van Adobe Chris Campbell was er nog niet op het moment dat ik deze post plaatste.
Evengoed heeft Adobe plannetjes...
Daarom de hele reactie maar geciteerd
Chris Campbell says:
December 9, 2015 at 6:05 pm
Hi,
Thanks for the blog post and the heads up! This is definitely a bug. This file should not be present in our release builds. As you’ve noted in the log above, while the file has been inadvertently placed on the system, no data will be sent to Adobe. At a minimum, the mms.cfg must contain AnalyticsUserChoice=1 to enable data pingback. In addition, because this is a release build and not a beta build, even if AnalyticsUserChoice is set, data will not be collected or sent to Adobe.
We do plan on introducing anonymous usage data collection in the future, but only if a user opts into the feature in our *beta* channel. This feature will *not* be enabled or work with our standard releases. In addition, we will:
1. Provide every user the option to enable/disable anonymous usage sharing at the time of install
2. Provide UI to toggle this feature on and off via the Flash Player preference/control panel
3. Provide clear documentation on what is being sent, how the data is being used, and how to disable it (from both a end user and administrative perspective.)
We’re currently investigating how this bug occurred and working to correct it asap. We’ll post more details as we get closer to releasing this features to make sure everyone has a clear understanding of what it does and how it works before making their choice.
Thanks,
Chris Campbell
December 9, 2015 at 6:05 pm
Hi,
Thanks for the blog post and the heads up! This is definitely a bug. This file should not be present in our release builds. As you’ve noted in the log above, while the file has been inadvertently placed on the system, no data will be sent to Adobe. At a minimum, the mms.cfg must contain AnalyticsUserChoice=1 to enable data pingback. In addition, because this is a release build and not a beta build, even if AnalyticsUserChoice is set, data will not be collected or sent to Adobe.
We do plan on introducing anonymous usage data collection in the future, but only if a user opts into the feature in our *beta* channel. This feature will *not* be enabled or work with our standard releases. In addition, we will:
1. Provide every user the option to enable/disable anonymous usage sharing at the time of install
2. Provide UI to toggle this feature on and off via the Flash Player preference/control panel
3. Provide clear documentation on what is being sent, how the data is being used, and how to disable it (from both a end user and administrative perspective.)
We’re currently investigating how this bug occurred and working to correct it asap. We’ll post more details as we get closer to releasing this features to make sure everyone has a clear understanding of what it does and how it works before making their choice.
Thanks,
Chris Campbell
Ik kon inderdaad geen outbound activiteit ontdekken na installatie.
Wat mij meer 'zorgen baart' en andere reageerder(s) ook, is dat dit erdoorheen slipt en misschien vooral het plannen van meer gebruikersdata te gaan verzamelen.
- Eerst al door vanaf 2016 bedrijven te dwingen een adobe Id account aan te maken voor gebruik van de Flashplayer 'distributie installer'.
- Binnenkort door meer gebruikersdata te gaan verzamelen die misschien toch net iets minder onschuldig zijn dan ik eerst opmerkte (keek eroverheen in de haast van het plaatsen van dit forum topic).
Privacy opmerkingen :
a) Hoezo anonieme data?
Die data worden bij een gemiddelde gebruiker toch vanaf het vaste huis ip adres verstuuurd?
Een ip adres is een persoonsgegeven.
Hoe kan uit de code voor het verzenden worden opgemaakt dat op de thuisbasis de gegevens worden losgekoppeld?
Is die loskoppeling echt onomkeerbaar anoniem of pseudo-anoniem?
b) Niet privacy gevoelig?
Het lijkt onschuldig dat er geteld wordt hoeveel flashfilmpjes jij per dag [(?) kijkt (en van welke technische soort). Koppel het aan een tijdstip en het suggereert al meer over jouw sociale leven.
Niet dat Google Youtube ongeveer hetzelfde en heel veel meer allang over jou weet, maar dat is geen rechtvaardiging voor een ander om het ook klakkeloos te gaan doen.
c) Welke data worden er exact verzameld?
Nogmaals, was het overzicht van osxbytes wel correct en helemaal volledig?
d) Waarom gaat Adobe dit verzamelen?
Om vlak voordat de melkkoe Flashplayer met pensioen gaat nog maximaal te melken?
Om op basis van die data nieuwe strategieen uit te zetten ten behoeve van een optimale gebruikerservaring?
Hoe vriendelijk Chris het allemaal ook brengt..
De vraag is in hoeverre Geheim agent Adobe Omninture 207 nou werkelijk te vertrouwen is met consumentendata.
Het is tenslotte hun wereldwijde business data te verzamelen en daar heel veel geld mee te verdienen.
Macgroet,
P.s. 1
Angeltje van het bijtje:
* Beide ongewenste Flashplayer analytics bestanden zijn gisteren per omgaande verwijderd en die plugin doet het verder prima.
* Echter, wanneer je een dergelijke plugin offline installeert om het zekere voor het onzekere te nemen,
heb je wel een ander probleem; er kan geen controle met Apple van het developers id plaatsvinden!
Ergo, als je de installer per ongeluk elders hebt gedownload en het betreft een malafide malware installer dan heeft het verminderde vertrouwen in Adobe ervoor gezorgd dat je alvast één veiligheidscheck van je Mac OS X systeem hebt uitgeschakeld en een stapje dichter bij malware ellende bent.
En reken maar dat de nieuwe Flashplayer installer straks een prima kandidaat is voor social engineering varianten met kwaadaardige code achter de keuze schermpjes.
Dat is dus wel het dilemma bij offline installeren om gezeik (ook bijvoorbeeld om Adware van o.a. Oracle) te voorkomen.
P.s. 2
* Zit de 'bug' toevallig ook in de Windows versie van Flashplayer?
Door Anoniem: Ik weet niet hoe het bij jou (hey) Mac gebruiker zit, maar ik heb eigenlijk nog nooit een werkende automatische updater van Adobe Flashplayer gezien.
Bij mij werkt het eigenlijk feilloos. Ik werk altijd onder user account en log maar een paar keer per jaar in onder een admin account.
Wel is het zo dat mijn desktops (iMacs) doorgaans binnen 24 uur een update krijgen, maar bij mijn laptop (MacBook) kan dat wel een week duren. Ik ga ervan uit dat dit komt doordat de laptop het grootste deel van de dag off-line is.
10-12-2015, 19:20 door
Spiff has left the building
Door Anoniem, 13:10 uur:
P.s. 2
* Zit de 'bug' toevallig ook in de Windows versie van Flashplayer?[/i]
Op m'n Windows 7 systeem is geen Flash Player geïnstalleerd,P.s. 2
* Zit de 'bug' toevallig ook in de Windows versie van Flashplayer?[/i]
wel op m'n Windows Vista x86 systeem, de ActiveX Flash versie voor IE, versie 20.0.0.228
(geïnstalleerd, maar niet ingeschakeld in de browser, en zonder automatisch updaten).
Ik heb gezocht met zoekterm FPFeedbackService en daarmee niets aangetroffen.
Ik kan echter niet uitsluiten dat een overeenkomstig bestand voor Windows een andere naam kan hebben.
Ik weet niet op welke locatie ik zo'n overeenkomstig bestand met een andere naam zou moeten zoeken.
In \AppData\ en in \System32\Macromed\Flash vind ik niets 'verdachts'.
Flash Player 20.0.0.267 removes analytics
https://jamfnation.jamfsoftware.com/discussion.html?id=18305
Bij the enterprise version.
En bij de andere versies?
Check het eens..
(spiff nog bedankt voor je antwoord)
Macgroet,
https://jamfnation.jamfsoftware.com/discussion.html?id=18305
Bij the enterprise version.
En bij de andere versies?
Check het eens..
(spiff nog bedankt voor je antwoord)
Macgroet,
04-01-2016, 21:12 door
Spiff has left the building
Door Anoniem, 18:44 uur:
Flash Player 20.0.0.267 removes analytics
https://jamfnation.jamfsoftware.com/discussion.html?id=18305
Bij the enterprise version.
En bij de andere versies?
Check het eens..
install_flash_player_ax.exe 20.0.0.270Flash Player 20.0.0.267 removes analytics
https://jamfnation.jamfsoftware.com/discussion.html?id=18305
Bij the enterprise version.
En bij de andere versies?
Check het eens..
en tevens ook uninstall_flash_player.exe 20.0.0.270
geopend als.txt en doorzocht met de zoektermen Remove en Analytics, maar niet het aangeduide "Remove Analytics daemon" script gevonden.
Maar zoals 10-12-2015 19:20 uur aangegeven, in ActiveX Flash was FPFeedbackService waarschijnlijk hoe dan ook niet aanwezig.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
