Electron 应用易“招黑”,轻松被修改并植入后门
因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。
在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应,而且这个漏洞仍然存在。
虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站。
Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
OSChina 周二乱弹 —— 举杯邀明月,对狗成三人
Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @youngiiii :分享Jonas Blue/Jack & Jack的单曲《Rise》 《Rise》- Jonas Blue/Jack & Jack 手机党少年们想听歌,请使劲儿戳(这里) @宇辰OSC :周一上班快乐 并不快乐, 不想上班, “因为铲屎官上班去了啊,周末有千层面,周一没有了。” 最好笑的是, 上着上着班就出问题了, @鼻炎患者 :上着上着班 我大山东 全省就没了~ 谁说的? 腾讯视频呗, 为嘛山东应急厅没事呢? 腾讯视频赶紧出来道歉, 今天我们都是亡魂…… 失踪的那七个人就是全省人民的希望了。 编辑要给地球解决人口过剩的难题呀, @Geek-Chic :悲伤的是,这颗星球上的人同时面临着孤独和人口过剩两大难题。 Niushop.小灰灰 人口过渡消耗资源, 垃圾乱扔, 垃圾都扔到大海里了, 不止是垃圾呀, 人类还有自己的问题呢, 哪怕人口过剩, 人过的还是越来越孤独, @罗马的王 :怀念当年和同学一起联机玩暗黑2和WAR 的日子。 游戏里的虚拟 世界, 也有真正的感情呀, “跟新娘介绍伴郎的时候说...
- 下一篇
高手问答第 231 期 —— 聊聊云原生服务网格 Istio
Kubernetes在容器编排领域已经成为无可争辩的事实标准;微服务化的服务与容器在轻量、敏捷、快速部署运维等特征上匹配,这类服务在容器中的运行也正日益流行;随着 Istio 的成熟和服务网格技术的流行,使用 Istio 进行服务治理的实践也越来越多,正成为服务治理的趋势;而 Istio 与 Kubernetes 的天然融合且基于 Kubernetes 构建,也补齐了 Kubernetes 的治理能力,提供了端到端的服务运行治理治理平台。 这都使得 Istio、微服务、容器及 Kubernetes 形成一个完美的闭环。基于 Kubernetes 构建应用编排能力,采用 Istio 构建服务治理能力,已经逐渐成为云原生应用的标准配置。 OSCHINA本期高手问答( 8 月 13 日 - 8 月 19 日)我们将以服务网格为切入点展开讨论,包括服务网格的典型实现 Istio。当然讨论的内容可以外延到云原生的架构,Kubernetes 等成功的云原生的项目, 也可以专注 Istio 的原理、架构、实践和源码等细节。为此,我们邀请到了大家熟悉的嘉宾@idouba 来和大家一起探讨“云原生服务网...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS关闭SELinux安全模块
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- 设置Eclipse缩进为4个空格,增强代码规范
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路