Electron应用易“招黑”,轻松被修改并植入后门

发布时间:2019-11-09
摘要: 因其跨平台能力,Electron 开发框架是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studi

Electron应用易“招黑”,轻松被修改并植入后门

因其跨平台能力,Electron 开发框架是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。

在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站。

Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。

开源中国征稿啦!

开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社区,拥有超过 400 万的开源技术精英。我们传播开源的理念,推广开源项目,为 IT 开发者提供一个发现、使用、并交流开源技术的平台。

现在我们开始对外征稿啦!如果你有优秀的技术文章想要分享,热点的行业资讯需要报道等等,欢迎联系开源中国进行投稿。 投稿详情及联系方式请参见: 我要投稿