Участники конференции по кибербезопасности Black Hat обнаружили уязвимости во фреймворке Electron, который лежит в основе Discord, Microsoft Teams, Slack и множества других приложений. За свою работу они получили более $10 000, сообщает Vice.
В блоге исследователи описали, как смогли взломать Discord, Microsoft Teams и чат-приложение Slack, используя уязвимость в фреймворке Electron, построенном на кроссплатформенной среде javascript Node JS и библиотеке веб-рендеринга Chromium. Во всех этих случаях исследователи сообщали разработчикам Electron об уязвимостях, так что ошибки были исправлены до публикации исследования.
В случае с Discord ошибка, обнаруженная исследователями, требовала только отправки вредоносной ссылки на видео. В Microsoft Teams обнаруженную ошибку можно было использовать, пригласив жертву на встречу. В обоих случаях переход по ссылкам давал хакерам возможность получить контроль над системами.
Член команды Адитья Пурани заявил, что «клиентские приложения на Electron потенциально более уязвимы».
«Если вы параноик, я рекомендую использовать веб-версию, потому что тогда у вас есть защита, которую предоставляет Chromium.
Он подчеркнул, что, несмотря на это, самая лучшая защита от злоумышленников — внимательность пользователей.
«Не нажимайте на сомнительные ссылки», — подчеркнул Пурани.
