В Skype, WhatsApp и Slack можно легко внедрить бэкдор

В Skype, WhatsApp и Slack можно легко внедрить бэкдор

Проблема кроется в уязвимом фреймворке Electron для разработки приложений.

image

Благодаря поддержке целого ряда различных платформ фреймворк Electron, предназначенный для создания приложений, пользуется большой популярностью у разработчиков и лежит в основе множества проектов. Electron базируется на JavaScript и Node.js и используется для создания клиентских приложений Skype, WhatsApp, Slack и других средств общения в интернете. Тем не менее, как утверждает исследователь Павел Цакалидис (Pavel Tsakalidis), Electron представляет серьезную угрозу безопасности приложений.

На конференции BSides LV, на этой неделе проходившей в Лас-Вегасе, Цакалидис представил свой инструмент BEEMKA для распаковки заархивированных файлов Electron ASAR и внедрения кода в JavaScript-библиотеки Electron и встроенные расширения для браузера Chrome.

Обнаруженная исследователем уязвимость присутствует не в самих приложениях, а в используемом для их создания фреймворке. Однако с ее помощью атакующий может легко скрыть вредоносную активность в легитимных процессах.

Для модифицирования библиотек и расширений атакующему сначала нужно получить права администратора на Linux или MacOS (в случае с Windows достаточно иметь локальный доступ). Внеся изменения в библиотеки и расширения, атакующий может создать новые «функции», способные получать доступ к файловой системе, включать web-камеру и извлекать данные (в том числе пароли) из системы с помощью функционала доверенных приложений.

В опубликованном ниже видео Цакалидис продемонстрировал версию Microsoft Visual Studio Code с бэкдором, отправляющую вводимые пользователем данные на удаленный сайт. По словам исследователя, он уведомил Electron об уязвимости, но не получил никакого ответа, и проблема по-прежнему остается неисправленной.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle