electron 应用容易被修改并植入后门-k8凯发天生赢家

electron 应用容易被修改并植入后门
作者:solidot.org 发布时间:2019-08-09

因其跨平台能力,electron 开发平台是许多应用的关键组成部分。基于 javascript 和 node.js 的 electron 被用于 skype、whatsapp 和 slack 等流行消息应用,甚至被用于微软的 visual studio code 开发工具。但 electron 也会带来安全隐患,容易修改植入后门。

electron_framework_exploitation_extract_master_password_602_280_75.jpg

electron_framework_exploitation_bitwarden_greeting_602_378_75.jpg

安全研究员 pavel tsakalidis 演示了一个 python 开发的工具 beemka,允许解压 electron asar 存档文件,并将新代码注入到 javascript 库和内置 chrome 浏览器扩展。

漏洞不是在应用程序中,而是在应用程序使用的底层框架 electron 中。

tsakalidis 称他联络了 electron 但没有得到回应。                      

electron_framework_exploitation_extract_contents.jpg


网站地图