Electron 应用易“招黑”,轻松被修改并植入后门

2019年08月13日

因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。

在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应,而且这个漏洞仍然存在。

虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站

Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。

展开阅读全文
11 收藏
分享
加载中
精彩评论
传统软件也可以被修改,比如网上各种破解版,只是electron更容易被修改,原理都是一样的 只需要对文件做一个hash校验就可以了
2019-08-13 07:51
8
举报
修改门槛高低而已。APK有校验,还不是被我改了so后,靠破解核心运行了。不过推出加密ASAR的方案确实是一个合理的需求,Electron有这方面的打算才行。
2019-08-13 10:07
3
举报
谷歌核心科技的东西不能说的,谁敢说马上就会被脑残粉喷死。
2019-08-13 10:06
3
举报
不从官方和授信网站下载应用,任何应用都可以说是 易“招黑”,轻松被修改并植入后门
2019-08-13 08:32
3
举报
就像安卓APK一样,不要安装那些来历不明的“修改版”、“破解版”、“汉化版”,谁知道里面被植入了啥东西
2019-08-13 08:40
1
举报
最新评论 (15)
本地应用的话破解根本拦不住,需要服务器交互的,源码都知道了,发个未破解前的文件hash来骗过完整也是轻而易举
2019-08-19 08:23
0
回复
举报
修改门槛高低而已。APK有校验,还不是被我改了so后,靠破解核心运行了。不过推出加密ASAR的方案确实是一个合理的需求,Electron有这方面的打算才行。
2019-08-13 10:07
3
回复
举报
谷歌核心科技的东西不能说的,谁敢说马上就会被脑残粉喷死。
2019-08-13 10:06
3
回复
举报
Google和Huawei的极端粉都一样多,都不能惹。HW相对麻烦些,现在连缺乏IT知识的中小学生都会加入大战。
不像沉稳的微软,一直被人骂,都习惯了,现在反倒越来越拥抱开源。如果把不想玩的东西拿出来开源,开发者会很高兴的,但国内外某些企业会不高兴,这等于砸了他们的饭碗,然后绕着弯骂微软。现在微软不管怎么做,都会被人骂。
2019-08-14 00:17
0
回复
举报
喜欢用electron开发windows app,至少不用再去学c#
2019-08-13 09:28
0
回复
举报
就像安卓APK一样,不要安装那些来历不明的“修改版”、“破解版”、“汉化版”,谁知道里面被植入了啥东西
2019-08-13 08:40
1
回复
举报
不从官方和授信网站下载应用,任何应用都可以说是 易“招黑”,轻松被修改并植入后门
2019-08-13 08:32
3
回复
举报
传统软件也可以被修改,比如网上各种破解版,只是electron更容易被修改,原理都是一样的 只需要对文件做一个hash校验就可以了
2019-08-13 07:51
8
回复
举报
不太懂,把文件的hash值传给服务器去校验吗?
每个文件都需要校验?
2019-08-13 09:40
0
回复
举报
检验核心文件没有被篡改就行了,
2019-08-13 09:59
0
回复
举报
在代码校验吗?把校验代码去掉也能破解吧?
2019-08-13 13:59
0
回复
举报
服务器验证 程序完整性
2019-08-13 20:47
0
回复
举报
验证本身就可以被篡改。。。
2019-08-18 12:36
0
回复
举报
服务器验证 不验证不能用的设计就可以了
2019-08-18 18:06
0
回复
举报
源码都知道了,发个未破解前的验证过去不是轻而易举吗
2019-08-19 08:28
0
回复
举报
更多评论
15 评论
11 收藏
分享
返回顶部
顶部