Electron (PoC) ευάλωτες οι εφαρμογές Skype, WhatsApp, Slack

Το πρόβλημα φαίνεται να υπάρχει στο ευάλωτο πλαίσιο ανάπτυξης του Electron (Electron development framework).

Το Electron development framework για τη δημιουργία εφαρμογών chat είναι πολύ δημοφιλές framework μεταξύ των προγραμματιστών και υποστηρίζει πάρα πολλά . Το σύστημα του Electron βασίζεται στο JavaScript και το Node.js και χρησιμοποιείται για τη δημιουργία των εφαρμογών Skype, WhatsApp, Slack καθώς και πολλών άλλων εργαλείων επικοινωνίας στο Internet.

Ωστόσο, σύμφωνα με τον ερευνητή Pavel Tsakalidis, το Electron development framework αποτελεί μια πολύ σοβαρή απειλή για την ασφάλεια των εφαρμογών.

Electron

Στο BSides LV αυτή την εβδομάδα στο Las Vegas, ο Tsakalidis παρουσίασε το εργαλείο BEEMKA για την απο αρχείων Electron ASAR, του ενσωματωμένου κώδικα στα Electron JavaScript και στις ενσωματωμένες επεκτάσεις του προγράμματος περιήγησης Chrome.

Θα πρέπει να επισημάνουμε ότι η ευπάθεια που ανακαλύφθηκε από τον ερευνητή δεν υπάρχει στις ίδιες τις , αλλά στο Electron development framework που χρησιμοποιήθηκε για τη δημιουργία τους. Ωστόσο, με τη βοήθειά της ευπάθειας, ένας εισβολέας μπορεί να κρύψει πολύ εύκολα την κακόβουλη δραστηριότητά του σε νόμιμες διεργασίες.

Δείτε το Proof of Concept

Για να τροποποιήσει βιβλιοθήκες και επεκτάσεις, ο εισβολέας θα πρέπει πρώτα να αποκτήσει δικαιώματα διαχειριστή σε συστήματα με Linux ή MacOS. Στην περίπτωση των Windows, αρκεί να υπάρχει τοπική πρόσβαση.

Με την πραγματοποίηση αλλαγών στις βιβλιοθήκες και τις επεκτάσεις, ο εισβολέας μπορεί να δημιουργήσει νέες “λειτουργίες” που μπορούν να έχουν πρόσβαση στο σύστημα αρχείων, να ενεργοποιήσουν την web κάμερα  και να εξάγουν ευαίσθητα δεδομένα (όπως κωδικούς πρόσβασης) από το σύστημα, χρησιμοποιώντας τη λειτουργία αξιόπιστων εφαρμογών.

Στο παραπάνω βίντεο, ο Tsakalidis παρουσιάζει ένα PoC σε Microsoft Visual Studio με που στέλνει τα εισερχόμενα χρήστη σε έναν απομακρυσμένο ιστότοπο.

Σύμφωνα με τον ερευνητή, ενημέρωσε την Electron για την ευπάθεια, αλλά δεν έλαβε κάποια απάντηση ενώ το πρόβλημα εξακολουθεί να υπάρχει.

________________________

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.087 εγγεγραμμένους.

chatframeworkhttpsUnique Minds GreeceVasglassyoutube

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).