Pull to refresh

В Skype, Slack и другие приложения на Electron можно легко внедрить бэкдор

Reading time 2 min
Views 9.9K


Фреймворк Electron популярен среди разработчиков благодаря своим кроссплатформенным возможностям. Он основан на JavaScript и Node.js и используется для создания приложений для настольных ОС с помощью веб-технологий. Однако, как утверждает исследователь Павел Цакалидис, приложения, основанные на Electron, могут быть уязвимы.

На конференции BSides LV, прошедшей во вторник, Павел Цакалидис продемонстрировал созданный им инструмент BEEMKA. Инструмент позволяет распаковывать архивные файлы Electron ASAR и внедрять новый код в библиотеки Electron JavaScript и встроенные расширения браузера Chrome. Уязвимость кроется не в самих приложениях, а в базовой структуре Electron, и позволяет скрывать вредоносные действия в процессах, которые кажутся безопасными.

Для внесения изменений злоумышленнику придётся получить доступ администратора в Linux и MacOS (в Windows достаточно и локального доступа). После внедрения нового кода можно получить доступ к файловой системе, активировать веб-камеру и извлечь информацию из системы, включая учетные данные пользователя и другую конфиденциальную информацию. Проблема заключается в том, что сами файлы Electron ASAR не зашифрованы и не подписаны, что позволяет изменять их без изменения подписи соответствующих приложений.

На конференции Цакалидис продемонстрировал версию Microsoft Visual Studio Code с бэкдором, которая отправляла вводимые данные на удаленный веб-сайт. По его словам, удаленные атаки пока что не представляют угрозы, так как для внесения изменений в приложения Electron необходим локальный доступ. Однако злоумышленники могут замаскировать приложения и распространять их.

Цакалидис также сообщил, что проинформировал разработчиков Electron о найденной им уязвимости. Его обращение пока осталось без ответа, и проблема по-прежнему открыта.
Tags:
Hubs:
-17
Comments 13
Comments Comments 13

Other news