Pull to refresh

В Skype, Slack и другие приложения на Electron можно легко внедрить бэкдор

Information SecurityGoogle ChromeData storage


Фреймворк Electron популярен среди разработчиков благодаря своим кроссплатформенным возможностям. Он основан на JavaScript и Node.js и используется для создания приложений для настольных ОС с помощью веб-технологий. Однако, как утверждает исследователь Павел Цакалидис, приложения, основанные на Electron, могут быть уязвимы.

На конференции BSides LV, прошедшей во вторник, Павел Цакалидис продемонстрировал созданный им инструмент BEEMKA. Инструмент позволяет распаковывать архивные файлы Electron ASAR и внедрять новый код в библиотеки Electron JavaScript и встроенные расширения браузера Chrome. Уязвимость кроется не в самих приложениях, а в базовой структуре Electron, и позволяет скрывать вредоносные действия в процессах, которые кажутся безопасными.

Для внесения изменений злоумышленнику придётся получить доступ администратора в Linux и MacOS (в Windows достаточно и локального доступа). После внедрения нового кода можно получить доступ к файловой системе, активировать веб-камеру и извлечь информацию из системы, включая учетные данные пользователя и другую конфиденциальную информацию. Проблема заключается в том, что сами файлы Electron ASAR не зашифрованы и не подписаны, что позволяет изменять их без изменения подписи соответствующих приложений.

На конференции Цакалидис продемонстрировал версию Microsoft Visual Studio Code с бэкдором, которая отправляла вводимые данные на удаленный веб-сайт. По его словам, удаленные атаки пока что не представляют угрозы, так как для внесения изменений в приложения Electron необходим локальный доступ. Однако злоумышленники могут замаскировать приложения и распространять их.

Цакалидис также сообщил, что проинформировал разработчиков Electron о найденной им уязвимости. Его обращение пока осталось без ответа, и проблема по-прежнему открыта.
Tags:skypeslackwhatsappинформационная безопасностьбэкдор
Hubs: Information Security Google Chrome Data storage
Total votes 29: ↑6 and ↓23 -17
Views8.8K

Comments 13

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now

Data Analyst
April 19, 2021102,000 ₽SkillFactory
Data Engineer
May 31, 202165,000 ₽OTUS
Data Science Bootcamp
April 19, 2021250,000 ₽Elbrus Coding Bootcamp
SUSE Linux Enterprise Server 12 – Безопасность
May 11, 202130,000 ₽Сетевая Академия ЛАНИТ

Top of the last 24 hours