Flash: ese spyware de Linux

En esta noche de insomnio he encendido el ordenador para aprovechar el tiempo y al arrancar el navegador el monitor de red registraba un tráfico de red de unos pocos kb/s cuando yo todavía no había abierto una página así que he hecho un "iftop -B -i wlan0" y me he encontrado una sorpresa.

La sorpresa

¡Tráfico desde y hacia la IP 66.117.29.11!

Investigando

Me conecto al puerto 80 y me devuelve un bonito "The requested URL "/test" was not found on this server. That's all we know.". Hago un escaneo de puertos y tiene abierto también el 443. Misma respuesta.

Apago el navegador, desactivo el plugin de flash y deja de haber tráfico. Ups, olvidé hacer un tcpdump para ver a que endpoint llegaba el tráfico.

Buscando en internet

He buscado la IP y parece que es de Adobe pero en virustotal pone que se resuelven dominios tan exóticos como nationalbankofcanada.tt.omtrdc.net y doy fe de que es así.

Mirando en abine veo que el dominio es de una empresa que se dedica a vender datos de usuario.

Conclusión

Supongo que el plugin estaría actualizando mis datos en su base de datos de usuarios.

No se en que momento el plugin de flash paso de ser algo serio a un virus pero no me extraña que haya bastantes empresas que lo rechacen frontalmente y que no funcione en algunos navegadores.

Y así es como mi relación con el plugin de flash terminó un 28 de Septiembre de 2015 a las 6 de la mañana.