- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
В платформе для разработчиков приложений Electron нашли новые проблемы безопасности. На этот раз уязвимости позволяют внедрить бэкдор в такие популярные приложения, как Skype и Slack. Фреймворк Electron представляет собой ключевое звено многих популярных приложений, в основном благодаря своим кросс-платформенным возможностям. Его используют разработчики Skype, WhatsApp и Slack.
На конференции BSides LV, посвященной безопасности, эксперт Павел Цакалидис продемонстрировал собственный инструмент под названием BEEMKA. BEEMKA написан на Python и позволяет распаковать файлы архивов Electron — ASAR. Используя этот инструмент,
Цакалидис смог внедрить новый код в JavaScript-библиотеки Electron. Таким образом, он открыл возможность для инъекции вредоносных возможностей в популярные программы для общения.
По словам Цакалидиса, он пытался связаться с представителями Electron по поводу найденных уязвимостей, однако ответа так и не получил. Используя внедренный вредоносный код, можно получить доступ к файловой системе, активировать веб-камеру и извлечь конфиденциальную информацию.
И все это под видом легитимных приложений. Исследователь опубликовал видео, в котором можно ознакомиться с сутью проблемы безопасности: