Expertos advierten sobre la seguridad en AIR de Adobe

dobe AIR saca provecho de una serie de tecnologías de código abierto, incluyendo algunas que también están implementadas en Firefox, Flash, Konqueror y Safari (por ejemplo Tamarin, SQLite y WebKit). Para proteger el equipo del usuario, AIR implementa un ambiente del tipo "caja de arena" (sandbox).

Esto es común en muchos lenguajes y entornos, tales como Java, donde para prevenir daños en el sistema del cliente, las aplicaciones descargadas de Internet se ejecutan en un ambiente cerrado (la llamada "caja de arena"), desde no pueden tener acceso a llamadas del sistema operativo o a otros recursos del sistema.

En el caso de las aplicaciones basadas en AIR, la propia documentación de Adobe sugiere que estas "sandboxes" son menos seguras que una sandbox implementada por un navegador Web. Esto no es nada tranquilizador, después que Firefox presentara recientemente una vulnerabilidad que puede permitir a un intruso acceder al sistema de archivos de forma remota.

Según la documentación de Adobe, las aplicaciones desplegadas con Adobe AIR "tienen capacidades de escritorio de gran alcance y acceso a datos locales."

Las aplicaciones AIR necesitan ser firmadas digitalmente para ejecutarse. Pero estos certificados pueden ser firmados por cualquiera. Además, muchos usuarios ignoran las alertas sobre la falta de firmas certificadas, ejecutando de todos modos aplicaciones que no son confiables.

Aún cuando Adobe proporciona artículos sobre la seguridad en AIR, es una práctica común para muchos desarrolladores sin experiencia ignorar dichas precauciones, tanto por desconocimiento de su existencia como por "comodidad".

De ese modo, muchas de las aplicaciones creadas con AIR, pueden llegar a convertirse en potenciales amenazas para los usuarios que las utilizan.

Las posibilidades y tipos de ataques son numerosos, por ejemplo ejecución de código por inyección de scripts, o hasta la ejecución de algún troyano que luego podría obtener y enviar a Internet información del usuario.

Todavía peor es que muchos desarrolladores confíen en la protección que brindan las sandboxes, cuando por lo contrario, este tipo de protección es una de las más débiles como se ha demostrado últimamente. La confianza siempre es peor que la simple ignorancia del peligro.

AIR está siendo utilizado por muchos sitios populares que brindan sus aplicaciones para ser instaladas en el escritorio del usuario (por ejemplo AOL Top 100 Videos player, eBay Desktop, NASDAQ Market Replay y Nickelodeon Online).