Alla conferenza sulla sicurezza di BSides LV a Las Vegas, lo sviluppatore Pavel Tsakalidis ha svelato una grave vulnerabilità della sicurezza sulla piattaforma Electron, basata su JavaScript e Node.js. Problema: questo è utilizzato da diverse applicazioni di comunicazione molto popolari, tra cui WhatsApp, Skype e Slack. Tutti questi software sono quindi potenzialmente esposti, come riporta Ars Technica.

WhatsApp, Skype e Slack fanno affidamento sulla piattaforma Electron, che rappresenta un rischio per la sicurezza

Pavel Tsakalidis ha sviluppato uno strumento basato su Python per dimostrare le vulnerabilità di Electron. 
Ciò consente a qualcuno di decomprimere i file di archivio ASAR di Electron e iniettare nuovo codice nelle librerie JavaScript e nelle estensioni del browser Chrome. Codice che ovviamente può essere dannoso. E non è tutto: il difetto può anche nascondere attività dannose in processi che sembrano innocui. Antivirus e sistemi di protezione possono quindi mancare.

Lo sviluppatore spiega che apportare tali modifiche richiede l’accesso come amministratore su Linux e MacOS, ma solo l’accesso locale su Windows, che è più esposto di altri sistemi operativi. Gli hacker possono potenzialmente accedere al file system, attivare una webcam ed estrarre informazioni dai sistemi utilizzando funzionalità dell’applicazione attendibili. Ha avvertito Electron di questa violazione della sicurezza, ma finora non ha ricevuto alcuna risposta. La vulnerabilità non è stata corretta.

Lascia una recensione

Please Login to comment
avatar
  Subscribe  
Notificami