Замена Flash на HTML5 не поможет сделать рекламу безопаснее⁠⁠

Специалисты компании GeoEdge представили исследование, которое доказывает, что Flash ошибочно называют корнем всех бед и основной проблемой, приводящей к распространению вредоносной рекламы. Исследователи утверждают, что переход на HTML5 ничего не изменит, так как уязвимы сами рекламные платформы и стандарты.

Flash заслуженно считается одним из самых взламываемых образчиков софта. Так, только в 2014 и 2015 годах во Flash было обнаружено 457 уязвимостей. Неудивительно, что злоумышленники тоже предпочитают использовать для своих кампаний именно Flash, а производители ПО все чаще отказываются работать с технологией. К примеру, браузер Microsoft Edge в Windows 10 автоматически запрещает выполнение Flash-контента на сайтах, если он не является основным элементом страницы (к примеру, игрой). В мае 2016 года разработчики Chrome также сообщили, что до конца года откажутся от Flash в пользу HTML5.

По данным компании GeoEdge, все эти меры не помогут бороться с вредоносной видеорекламой. Ведь дело совсем не в том, сколько уязвимостей насчитывается во Flash и HTML5, дело в самих рекламных платформах. Корень проблемы вредоносной рекламы кроется в стандартах VAST и VPAID, разработанных еще в 2012 году. Именно они определяют «правила игры», когда речь заходит о видеорекламе. Взаимодействовать в рекламными баннерами и объявлениями пользователю позволяют как Flash, так и HTML5.

«Так как данные стандарты позволяют рекламодателям получать данные о пользователях, они также позволяют встроить в рекламу сторонний код. А если сторонний код разрешен, дверь для злоумышленников открыта, можно заниматься размещением вредоносного кода», — пишут исследователи.

Аналитики подчеркивают, что JavaScript – это базовый язык для HTML5, а значит, внедрение в такую рекламу вредоносного кода не доставит мошенникам никаких проблем. По сути, проблемой здесь выступает именно JavaScript, так как он позволяет рекламодателям добавлять сторонний JavaScript-код в баннеры, используя значение AdParameter. Его с легкостью можно использовать для распространения вредоносных решений, вместо отслеживания пользователя или каких-либо рекламных инструкций. И совершенно неважно, создана реклама с использованием Flash или HTML5.

Разговоры о том, что HTML5 лучше Flash ведутся давно. Но так ли это на самом деле? Flash определенно предлагает лучшее качество изображения и рендеринга, тогда как реклама HTML5 обычно поставляется в большем размере. Для работы Flash нужен плагин, а HTML5 вообще не работает со старыми браузерами. Рекламу, созданную с использованием Flash, легче оптимизировать, но с HTML5 проще работать и адаптировать рекламу для мобильных устройств. Если говорить о безопасности, HTML5 безусловно выигрывает у Flash, однако, как уже было сказано выше, в случае с рекламой – дело не в этом.

«У Flash-рекламы есть ряд преимуществ, хотя с точки зрения безопасности HTML5 – это более надежный вариант. Тем не менее, основной корень проблемы вредоносной видеорекламы, к сожалению, более фундаментален», — заключают исследователи.

Хотя исследование GeoEdge сконцентрировано вокруг видеорекламы, многие тезисы их отчета можно отнести и к статичным объявлениям. Ключ проблемы в том, что многие рекламные сети разрешают рекламодателям использовать кастомный JavaScript-код. Будь то изображение, Flash-объект или что-то иное, проблема кроется не в самих объявлениях и технологиях, но в лежащих под ними стандартах.