В Skype, Slack и другие приложения на Electron можно легко внедрить бэкдор



    Фреймворк Electron популярен среди разработчиков благодаря своим кроссплатформенным возможностям. Он основан на JavaScript и Node.js и используется для создания приложений для настольных ОС с помощью веб-технологий. Однако, как утверждает исследователь Павел Цакалидис, приложения, основанные на Electron, могут быть уязвимы.

    На конференции BSides LV, прошедшей во вторник, Павел Цакалидис продемонстрировал созданный им инструмент BEEMKA. Инструмент позволяет распаковывать архивные файлы Electron ASAR и внедрять новый код в библиотеки Electron JavaScript и встроенные расширения браузера Chrome. Уязвимость кроется не в самих приложениях, а в базовой структуре Electron, и позволяет скрывать вредоносные действия в процессах, которые кажутся безопасными.

    Для внесения изменений злоумышленнику придётся получить доступ администратора в Linux и MacOS (в Windows достаточно и локального доступа). После внедрения нового кода можно получить доступ к файловой системе, активировать веб-камеру и извлечь информацию из системы, включая учетные данные пользователя и другую конфиденциальную информацию. Проблема заключается в том, что сами файлы Electron ASAR не зашифрованы и не подписаны, что позволяет изменять их без изменения подписи соответствующих приложений.

    На конференции Цакалидис продемонстрировал версию Microsoft Visual Studio Code с бэкдором, которая отправляла вводимые данные на удаленный веб-сайт. По его словам, удаленные атаки пока что не представляют угрозы, так как для внесения изменений в приложения Electron необходим локальный доступ. Однако злоумышленники могут замаскировать приложения и распространять их.

    Цакалидис также сообщил, что проинформировал разработчиков Electron о найденной им уязвимости. Его обращение пока осталось без ответа, и проблема по-прежнему открыта.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 13

      +16
      Если честно не очень понятна уязвимость из статьи.
      Если злоумышленник получил рута, или хотя бы права локального пользователя, то он сможет включить камеру, читать ваши файлы и сохраненые данные? Это конечно очень интересно и печально. А при чем тут электрон?
      • НЛО прилетело и опубликовало эту надпись здесь
          +2
          А исполняемые файлы часто не проверяют библиотеки перед использованием.
          TODO: не забыть подать на Bug Bounty про эту уязвимость.
            0
            Интересно, кому причислите такую уязвимость)
              0
              Наверное к 99% процентам разработчиков)) Использовать в первую очередь библиотеки, лежащие в той же директории с исполняемым, и без проверки контрольной суммы.
              Если каждый даст хотя бы доллар, то разбогатею
        +2
        Проблема заключается в том, что сами файлы Electron ASAR не зашифрованы и не подписаны, что позволяет изменять их без изменения подписи соответствующих приложений.

        а причем тут Электрон? Насколько мне известно, подписанные библиотеки поддерживает только .net'овский рантайм, да и то, используется это не очень часто.

          +5

          Большинство исполняемых файлов можно пропатчить, и даже если они используют хитрый упаковщик/загрузчик, имея рута можно пропатчить память процесса

            +4

            В смысле, не важно, на чем приложение писали. Хоть на Фортране.

              +3

              Имея рута можно вообще ничего не патчить, а просто взять или положить что надо/куда надо.

            0

            А можно тупо поставить сниффер и келоггер.
            Хотя надо признать, что проблема есть, но меня лично пугает больше дыра в процессах

              +10
              «Если злоумышленник уже проник в вашу квартиру, он может легко открыть входную дверь изнутри».
                0

                Бывает что делают две двери. Одна только ключом открывается. Пришел открыл две двери, а злоумышленнику таки придётся лезть назад в окно

                0
                Кажется кто-то впервые узнал про asar-архивы и команды «asar extract»/«asar pack». Теперь ждём новости про «tar x» и «tar c» :)

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое