Electron 应用易“招黑”,轻松被修改并植入后门

局长
 局长
发布于 2019年08月13日
收藏 11

因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。

在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应,而且这个漏洞仍然存在。

虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站

Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Electron 应用易“招黑”,轻松被修改并植入后门
加载中

精彩评论

W
WindSpeed
传统软件也可以被修改,比如网上各种破解版,只是electron更容易被修改,原理都是一样的 只需要对文件做一个hash校验就可以了
DanoR
DanoR
修改门槛高低而已。APK有校验,还不是被我改了so后,靠破解核心运行了。不过推出加密ASAR的方案确实是一个合理的需求,Electron有这方面的打算才行。
久永
久永
谷歌核心科技的东西不能说的,谁敢说马上就会被脑残粉喷死。
开源红薯烹调技术专家
开源红薯烹调技术专家
不从官方和授信网站下载应用,任何应用都可以说是 易“招黑”,轻松被修改并植入后门
dolloyo
dolloyo
就像安卓APK一样,不要安装那些来历不明的“修改版”、“破解版”、“汉化版”,谁知道里面被植入了啥东西

最新评论(15

少年你还不懂事
少年你还不懂事
本地应用的话破解根本拦不住,需要服务器交互的,源码都知道了,发个未破解前的文件hash来骗过完整也是轻而易举
DanoR
DanoR
修改门槛高低而已。APK有校验,还不是被我改了so后,靠破解核心运行了。不过推出加密ASAR的方案确实是一个合理的需求,Electron有这方面的打算才行。
久永
久永
谷歌核心科技的东西不能说的,谁敢说马上就会被脑残粉喷死。
hach
hach
Google和Huawei的极端粉都一样多,都不能惹。HW相对麻烦些,现在连缺乏IT知识的中小学生都会加入大战。
不像沉稳的微软,一直被人骂,都习惯了,现在反倒越来越拥抱开源。如果把不想玩的东西拿出来开源,开发者会很高兴的,但国内外某些企业会不高兴,这等于砸了他们的饭碗,然后绕着弯骂微软。现在微软不管怎么做,都会被人骂。
-BlueSky-
-BlueSky-
喜欢用electron开发windows app,至少不用再去学c#
dolloyo
dolloyo
就像安卓APK一样,不要安装那些来历不明的“修改版”、“破解版”、“汉化版”,谁知道里面被植入了啥东西
开源红薯烹调技术专家
开源红薯烹调技术专家
不从官方和授信网站下载应用,任何应用都可以说是 易“招黑”,轻松被修改并植入后门
W
WindSpeed
传统软件也可以被修改,比如网上各种破解版,只是electron更容易被修改,原理都是一样的 只需要对文件做一个hash校验就可以了
isscy
isscy
不太懂,把文件的hash值传给服务器去校验吗?
每个文件都需要校验?
单指环quee
单指环quee
检验核心文件没有被篡改就行了,
开源中国首席罗纳尔多
开源中国首席罗纳尔多
在代码校验吗?把校验代码去掉也能破解吧?
W
WindSpeed
服务器验证 程序完整性
少年你还不懂事
少年你还不懂事
验证本身就可以被篡改。。。
W
WindSpeed
服务器验证 不验证不能用的设计就可以了
少年你还不懂事
少年你还不懂事
源码都知道了,发个未破解前的验证过去不是轻而易举吗
返回顶部
顶部