Вторник, 20 октября, 12:33
дома безопасность Electron (PoC) уязвим для приложений Skype, WhatsApp, Slack

Electron (PoC) уязвим для приложений Skype, WhatsApp, Slack

Это проблема кажется, существует в уязвимом контексте развития Электрон (Основы развития электронов).

Это Основы развития электронов Создание приложений чата является очень популярной средой среди разработчиков и поддерживает множество проектов. Его система электрон основан на JavaScript и Node.js и используется для создания приложений Skype, WhatsApp, Slack, а также многих других инструментов интернет-коммуникации.

Однако, по словам исследователя Павел Цакалидис, ХО Основы развития электронов это очень серьезная угроза безопасности приложений.

электрон

На этой неделе в BSides LV в Лас-Вегасе Цакалидис представил инструмент Beem распаковать файлы Electron ASAR, код, встроенный в библиотеки Electron JavaScript, и встроенные расширения браузера Chrome.

Следует отметить, что обнаруженная исследователем уязвимость существует не в самих приложениях, а в Основы развития электронов используется для их создания. Однако с помощью уязвимости злоумышленник может очень легко скрыть свою вредоносную деятельность в законных процессах.

Смотрите доказательство концепции

Чтобы изменить библиотеки и расширения, злоумышленник должен сначала получить права администратора в системах Linux или MacOS. В случае Windows локального доступа достаточно.

Внося изменения в библиотеки и расширения, злоумышленник может создавать новые «функции», которые могут получать доступ к файловой системе, включать веб-камеру и извлекать конфиденциальные данные (например, пароли) из системы, используя функцию надежные приложения.

В видео выше Tsakalidis представляет PoC в Microsoft Visual Studio с бэкдором, который отправляет входящих пользователей на удаленный сайт.

По словам исследователя, он сообщил Electron об уязвимости, но не получил ответа, пока проблема все еще существует.

________________________

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ЖИВЫЕ НОВОСТИ

США: обвиняют россиян в глобальных атаках

Шесть российских агентов были обвинены Министерством юстиции США в нападениях, связанных с зимними Олимпийскими играми в Пхенчхане, ...

Хакеры захватывают Telegram с помощью SS7-атаки

Хакеры, имеющие доступ к системе сигнализации 7 (SS7), используемой для подключения к мобильным сетям по всему миру, смогли ...

Вредоносное ПО Windows GravityRAT теперь нацелено на Android и macOS

GravityRAT, вредоносное ПО, которое отслеживает температуру ЦП компьютеров с Windows для обнаружения виртуальных машин или песочниц, приобрело дополнительные ...

DDoS-атаки выросли втрое, жертвы вынуждены платить выкуп

В последнем квартале 2020 года прокатилась волна атак на веб-приложения, в которых использовались письма с выкупом для компаний из различных отраслей ...

Фишинговая кампания нарушает учетные записи Office 365 через приложение OAuth

Исследователи безопасности обнаружили новую фишинговую кампанию, в которой используется электронная почта на основе Coinbase. Цель хакеров, стоящих за кампанией, ...

Команда хакеров пожертвовала деньги, украденные во время атак

Хакерская группа пожертвовала часть украденных у компаний денег на благотворительность. Это беспрецедентный случай, который поднимает ...

Instagram: расследование ЕС по защите данных детей

ЕС расследует Instagram, поскольку он якобы не смог обеспечить защиту данных детей на своей платформе ...

Атака программ-вымогателей «стоила» 300.000 XNUMX долларов в школах штата Миссисипи!

Школьный округ штата Миссисипи проголосовал за выплату 300.000 XNUMX долларов США за восстановление файлов, зашифрованных во время атаки программы-вымогателя. А ...

Российские хакеры планировали атаки на Олимпиаде в Токио!

Вчера правительство Великобритании заявило, что российские хакеры готовят кибератаки на организаторов Олимпийских и Паралимпийских игр ...

Windows 10: Microsoft выпустила новый диспетчер задач для геймеров

Если ваши компьютерные игры работают медленно или медленно, вы можете освободить ресурсы в Windows 10 с помощью нового диспетчера задач ...