由于其跨平台功能,Electron 框架是许多应用程序的关键部分。
Electron 已被广泛用于构建通信工具 —— 包括 Skype,WhatsApp 和 Slack —— 甚至 Microsoft 的 Visual Studio Code。
但是 Electron 也会带来很大的风险,因为基于 Electron 的应用程序可以轻松被修改而不会触发警告。
在 BSides LV 安全会议上,Pavel Tsakalidis 演示了他创建的一个名为 BEEMKA 的工具,这是一个基于 Python 的工具,允许解压缩 Electron ASAR 存档文件并将新代码(后门)注入 Electron 的 JavaScript 库和内置的 Chrome 浏览器扩展。
该漏洞不在应用程序本身,而是在底层 Electron 框架中 —— 于是该漏洞允许恶意活动隐藏在看似良性的流程中。
Tsakalidis 说,他已经联系了 Electron 解释关于这个漏洞的问题,但他没有得到任何回应 —— 而且这个漏洞仍然存在。
虽然进行这些更改如果在 Linux 和 MacOS 上进行就需要管理员访问权限,但是在 Windows 上做则不需要。
⚠️这些修改可以创建新的“功能”,可以访问文件系统、激活 Web cam,并使用受信的应用程序功能(包括用户凭据和敏感数据)从系统中泄露信息。
在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它可以将打开的每个代码选项卡的内容发送到远程网站。
视频:
问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求加密 ASAR 文件的请求被 Electron 团队忽视,他们没有采取任何行动。
Tsakalidis 表示,为了对 Electron 应用程序进行修改,需要进行本地访问,因此(至少目前)相关远程攻击不会构成威胁。
但是,攻击者可以对应用程序进行后门处理,然后重新分发它们,并且修改后的应用程序不太可能触发警告 —— 因为它们的数字签名没有被修改过。⚪️
Skype, Slack, other Electron-based apps can be easily backdoored