因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。 在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应,而且这个漏洞仍然存在。
虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站。 Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。 |
