slack zagrożenie
4

Te aplikacje zawsze mogą Cię słuchać: Skype, WhatsApp czy Slack

Nie da się ukryć, że w ostatnim czasie naprawdę sporo dowiedzieliśmy się o poważnych lukach w wielu aplikacjach. Okazuje się jednak, że to wciąż nie koniec złych informacji.

Celowa luka?

Według najnowszych informacji platforma deweloperska Electrona ma poważną „niedoróbkę”. Sam Electron jest naprawdę szeroko wykorzystywany i sprawdza się świetnie, a jego podstawową zaletą pozostają ogromne możliwości i łatwość pisania programów pod różne platformy. Bazuje na JavaScript i Node.js, a wykonane w nim aplikacje są klientami głównie komunikatorów internetowych. Tu wypada wspomnieć o tych najpopularniejszych, takich jak Slack, Skype czy WhatsApp. Warto w tym miejscu dodać, że również Microsoft Visual Studio Code powstał z jego wykorzystaniem.

Na czym polega problem? Otóż Electron gwarantuje prawdziwy backdoor i aż można zacząć się zastanawiać, czy przypadkiem sam błąd nie jest celowy. Podatność na atak wykrył Pavel Taskalidis. Pokazał ona na konferencji BSides LV swoje narzędzie w Pythonie, które pozwala rozpakować zarchiwizowane pliki Electron ASAR i dodać szkodliwy kod do bibliotek w JavaScript i rozszerzeń w przeglądarce Google Chrome. Poinformował on samego Electrona o błędzie, ale pozostało to bez odpowiedzi. Co ciekawe, pliki Electron ASAR nie są w żaden sposób szyfrowane czy oznaczane i to powoduje, że można je modyfikować bez żadnych problemów. W końcu nic potem nie weryfikuje sygnatury pliku.

slack zagrożenie

Te wszystkie zmiany wymagają uprawnień administratorskich na MacOS i dystrybucjach Linuxa, z kolei na Windowsie jedynie lokalnych zezwoleń. Takie modyfikacje pozwalają uzyskać dostęp do plików urządzenia, włączyć kamerkę i zbierać informacje z aplikacji, w tym wszystkie poufne dane oraz hasła z loginami. Nie da się ukryć, że to bardzo poważne zagrożenie bezpieczeństwa i zdecydowanie sam Electron powinien podjąć jakieś działania. Nie zdziwiłbym się jednak, gdyby był to celowo pozostawiony backdoor.

Na poniższym filmie możecie zobaczyć wytłumaczenie samej podatności i tego, jak można ją wykorzystać. W przykładzie Tsakalidis wykorzystał już zinfiltrowaną wersję Visual Studio Code.

Czy możemy czuć się zagrożeni? Raczej nie, ponieważ na razie atak na aplikacje w Electronie wymagają lokalnego dostępu i jedyną opcją pozostaje zakażenie sprzętu innym złośliwym oprogramowaniem, które dopiero wykona atak.

Uroki aplikacji

Obecnie cały czas korzystamy z różnych programów na smarftonie czy komputerze. Zostawiamy w nich poufne dane, spędzamy z nimi mnóstwo czasu, stają się dla nas bardzo przydatnymi narzędziami. Szkoda jedynie, że tak często wykrywane są w nich luki bezpieczeństwa. Szczególnie ciekawy jest przykład japońskiego operatora, który chciał dać klientom możliwość płacenia telefonem, ale finalnie skończyło się to stratą finansową dla użytkowników.

Sprawdź też: 7Pay pozwalał cyberprzestępcom płacić z kont klientom.

slack zagrożenie

Jestem ciekaw, jaka będzie reakcja Microsoftu, Facebooka czy Slacka. Niewątpliwie nie wzbudza to poważnego zaufania do ich aplikacji, ale wątpię, aby ta wiadomość przyczyniła się do odpływu użytkowników z nich.

źródło: Ars Technica