幸运分分彩-解读信息时代的商业变革
当前位置: 首页 > 软件 > 正文

Electron应用安全隐患易“招黑”轻松被修改并植入后门

2019-08-13 16:01:29 来源:开源中国   

  因其跨平台能力,Electron开发平台是许多应用的关键组成部分。基于JavaScript和Node.js的Electron被用于Skype、WhatsApp和Slack等流行消息应用,甚至被用于微软的Visual Studio Code开发工具。但Electron也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 ——而不会触发任何警告。

  在上周二的BSides LV安全会议上,安全研究员Pavel Tsakalidis演示了一个他创建的使用Python开发的工具 BEEMKA,此工具允许解压Electron ASAR存档文件,并将新代码注入到JavaScript库和内置Chrome浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架Electron中。Tsakalidis称他联络了Electron但没有得到回应,而且这个漏洞仍然存在。

  

 

  

 

  虽然进行这些更改在Linux和macOS上需要使用管理员访问权限,但在Windows上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis展示了一个后门版本的Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站。

  Tsakalidis指出,问题在于Electron ASAR文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密ASAR文件权限的请求被Electron团队关闭,但他们也没有采取任何行动。

免责声明: 幸运分分彩遵守五分PK10规则,本站所转载的稿件都标注作者和来源。 幸运分分彩原创文章,请转载时务必注明文章作者和来源“幸运分分彩”, 不尊重本站原创的行为将受到幸运分分彩的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取幸运分分彩最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT