Исследователи кибербезопасности обнаружили изъян в Electron, популярном фреймворке, используемом многими приложениями, включая Discord и Spotify. Это позволяет любому хакеру, обладающему соответствующими знаниями, легко завладеть аккаунтом своей жертвы. К счастью, разработчики Electrons были уведомлены и устранили уязвимость.
То, что уязвимость находится в приложении, само по себе достаточно плохо, но когда она находится во фреймворке, используемом многими очень популярными приложениями, мы сталкиваемся с настоящей проблемой безопасности. Именно это и произошло с Electron. Если вам не знакомо это название, есть очень большая вероятность, что вы используете его ежедневно.
Electron действительно является эталонным фреймворком для веб-приложений, которые хотят предложить своим пользователям настольную версию. Именно на нем основаны Discord, Spotify и глобально несколько онлайн-сервисов обмена сообщениями, таких как Microsoft Teams, каждый из которых насчитывает десятки миллионов пользователей. Однако во время конференции Black Hat, которая состоялась в этот четверг, 11 августа, в Лас-Вегасе, группа исследователей показала, что взломать Electron и, де-факто, приложения, которые его используют, очень просто.
Все приложения на базе Electron были уязвимы из-за этого большого недостатка
Поэтому исследователи взяли пример с Discord, который особенно облегчил задачу хакерам. Действительно, все, что им нужно было сделать, это отправить вредоносную ссылку (ссылки, которыми уже изобилует платформа) на видео своей жертве, чтобы завладеть ее аккаунтом. Очень плохие новости для системы обмена сообщениями, которая и так уже подвергается многочисленным хакерским атакам.
Для Microsoft Teams достаточно простого приглашения на встречу. Отправленная ссылка позволяла хакерам контролировать компьютер своей цели. «Обычные пользователи должны знать, что приложения Electron — это не то же самое, что их обычные браузеры», — говорит Аадитья Пурани, который сам признается, что никогда не пользовался приложениями Electron. Исследователи сообщили о своей находке разработчикам фреймворков, которые быстро исправили недостаток.
Источник: Vice