Nie da się ukryć, że w ostatnim czasie naprawdę sporo dowiedzieliśmy się o poważnych lukach w wielu aplikacjach. Okazuje się jednak, że to wciąż nie koniec złych informacji.
Celowa luka?
Według najnowszych informacji platforma deweloperska Electrona ma poważną "niedoróbkę". Sam Electron jest naprawdę szeroko wykorzystywany i sprawdza się świetnie, a jego podstawową zaletą pozostają ogromne możliwości i łatwość pisania programów pod różne platformy. Bazuje na JavaScript i Node.js, a wykonane w nim aplikacje są klientami głównie komunikatorów internetowych. Tu wypada wspomnieć o tych najpopularniejszych, takich jak Slack, Skype czy WhatsApp. Warto w tym miejscu dodać, że również Microsoft Visual Studio Code powstał z jego wykorzystaniem.
Na czym polega problem? Otóż Electron gwarantuje prawdziwy backdoor i aż można zacząć się zastanawiać, czy przypadkiem sam błąd nie jest celowy. Podatność na atak wykrył Pavel Taskalidis. Pokazał ona na konferencji BSides LV swoje narzędzie w Pythonie, które pozwala rozpakować zarchiwizowane pliki Electron ASAR i dodać szkodliwy kod do bibliotek w JavaScript i rozszerzeń w przeglądarce Google Chrome. Poinformował on samego Electrona o błędzie, ale pozostało to bez odpowiedzi. Co ciekawe, pliki Electron ASAR nie są w żaden sposób szyfrowane czy oznaczane i to powoduje, że można je modyfikować bez żadnych problemów. W końcu nic potem nie weryfikuje sygnatury pliku.
Te wszystkie zmiany wymagają uprawnień administratorskich na MacOS i dystrybucjach Linuxa, z kolei na Windowsie jedynie lokalnych zezwoleń. Takie modyfikacje pozwalają uzyskać dostęp do plików urządzenia, włączyć kamerkę i zbierać informacje z aplikacji, w tym wszystkie poufne dane oraz hasła z loginami. Nie da się ukryć, że to bardzo poważne zagrożenie bezpieczeństwa i zdecydowanie sam Electron powinien podjąć jakieś działania. Nie zdziwiłbym się jednak, gdyby był to celowo pozostawiony backdoor.
Na poniższym filmie możecie zobaczyć wytłumaczenie samej podatności i tego, jak można ją wykorzystać. W przykładzie Tsakalidis wykorzystał już zinfiltrowaną wersję Visual Studio Code.
Czy możemy czuć się zagrożeni? Raczej nie, ponieważ na razie atak na aplikacje w Electronie wymagają lokalnego dostępu i jedyną opcją pozostaje zakażenie sprzętu innym złośliwym oprogramowaniem, które dopiero wykona atak.
Uroki aplikacji
Obecnie cały czas korzystamy z różnych programów na smarftonie czy komputerze. Zostawiamy w nich poufne dane, spędzamy z nimi mnóstwo czasu, stają się dla nas bardzo przydatnymi narzędziami. Szkoda jedynie, że tak często wykrywane są w nich luki bezpieczeństwa. Szczególnie ciekawy jest przykład japońskiego operatora, który chciał dać klientom możliwość płacenia telefonem, ale finalnie skończyło się to stratą finansową dla użytkowników.
Sprawdź też: 7Pay pozwalał cyberprzestępcom płacić z kont klientom.
Jestem ciekaw, jaka będzie reakcja Microsoftu, Facebooka czy Slacka. Niewątpliwie nie wzbudza to poważnego zaufania do ich aplikacji, ale wątpię, aby ta wiadomość przyczyniła się do odpływu użytkowników z nich.
źródło: Ars Technica
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu