В платформе для разработчиков приложений Electron нашли новые проблемы безопасности. На этот раз уязвимости позволяют внедрить бэкдор в такие популярные приложения, как Skype и Slack.
Фреймворк Electron представляет собой ключевое звено многих популярных приложений, в основном благодаря своим кросс-платформенным возможностям. Его используют разработчики Skype, WhatsApp и Slack.
На конференции BSides LV, посвященной безопасности, эксперт Павел Цакалидис продемонстрировал собственный инструмент под названием BEEMKA. BEEMKA написан на Python и позволяет распаковать файлы архивов Electron — ASAR.
Используя этот инструмент, Цакалидис смог внедрить новый код в JavaScript-библиотеки Electron. Таким образом, он открыл возможность для инъекции вредоносных возможностей в популярные программы для общения.
По словам Цакалидиса, он пытался связаться с представителями Electron по поводу найденных уязвимостей, однако ответа так и не получил.
Используя внедренный вредоносный код, можно получить доступ к файловой системе, активировать веб-камеру и извлечь конфиденциальную информацию. И все это под видом легитимных приложений.
Исследователь опубликовал видео, в котором можно ознакомиться с сутью проблемы безопасности:
