欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

Electron 应用容易被修改并植入后门

 

因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门

Electron_Framework_Exploitation_Extract_Master_Password_602_280_75.jpgElectron_Framework_Exploitation_Bitwarden_Greeting_602_378_75.jpg

安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA,允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

漏洞不是在应用程序中,而是在应用程序使用的底层框架 Electron 中。

Tsakalidis 称他联络了 Electron 但没有得到回应。                     

Electron_Framework_Exploitation_Extract_Contents.jpg

9999.jpg


暂无

您可能还会对下面的文章感兴趣: