В Skype, Slack и другие приложения на Electron можно легко внедрить бэкдор

[Dvlbug]

А исполняемые файлы часто не проверяют библиотеки перед использованием.
TODO: не забыть подать на Bug Bounty про эту уязвимость.

[androidovshchik]

Интересно, кому причислите такую уязвимость)

[Dvlbug]

Наверное к 99% процентам разработчиков)) Использовать в первую очередь библиотеки, лежащие в той же директории с исполняемым, и без проверки контрольной суммы.
Если каждый даст хотя бы доллар, то разбогатею

[dimaaan]

Проблема заключается в том, что сами файлы Electron ASAR не зашифрованы и не подписаны, что позволяет изменять их без изменения подписи соответствующих приложений.

а причем тут Электрон? Насколько мне известно, подписанные библиотеки поддерживает только .net'овский рантайм, да и то, используется это не очень часто.

[kozar]

Большинство исполняемых файлов можно пропатчить, и даже если они используют хитрый упаковщик/загрузчик, имея рута можно пропатчить память процесса

[kozar]

В смысле, не важно, на чем приложение писали. Хоть на Фортране.

[wxmaper]

Имея рута можно вообще ничего не патчить, а просто взять или положить что надо/куда надо.

[Andrey_Rogovsky]

А можно тупо поставить сниффер и келоггер.
Хотя надо признать, что проблема есть, но меня лично пугает больше дыра в процессах

[selivanov_pavel]

«Если злоумышленник уже проник в вашу квартиру, он может легко открыть входную дверь изнутри».

[zim32]

Бывает что делают две двери. Одна только ключом открывается. Пришел открыл две двери, а злоумышленнику таки придётся лезть назад в окно

[w0den]

Кажется кто-то впервые узнал про asar-архивы и команды «asar extract»/«asar pack». Теперь ждём новости про «tar x» и «tar c» :)