• Tweet

AIR es un ambiente que permite a los desarrolladores utilizar HTML, Flash, AJAX, Flex y otras herramientas Web 2.0 para crear aplicaciones de escritorio.

Sin embargo algunos expertos en seguridad están preocupados por el acceso a archivos locales en aplicaciones AIR. Recientemente, Firefox presentó una vulnerabilidad que permitía que un intruso, de forma remota, tuviera acceso al sistema de archivos. Para mitigar esto, Adobe dijo que está implementando un ambiente sandoboxing, sin embargo, la documentación de Adobe sugiere que los sandboxes son menos seguros que un sandbox de un navegador Web.

Adicionalmente, Adobe dijo que las aplicaciones AIR necesitan ser firmadas digitalmente, sin embargo, estos certificados pueden ser autofirmados. Y muchos usuarios ignoraran estas alertas y ejecutan aplicaciones no confiables.

Finalmente, existe la posibilidad de ataques Cross-Site Scripting (XSS), SQL injection y ocal link injection. Aunque estas amenazas no se limitan a Adobe AIR, los desarrolladores pueden creer que la seguridad de lo que programan está solamente en la protección sandbox, la cual es una de las más débiles.

Adobe también ha proporcionado lo siguiente: un articulo informativo titulado "Introducción a la seguridad AIR" y un documento titulado "Seguridad AIR" (PDF). Sin embargo Lenny Zeltser señalo que "muchos desarrolladores desconocen las mejores practicas de seguridad AIR o toman atajos que exponen a los usuarios finales."