Τα WhatsApp, Skype και Slack πέφτουν θύματα παραβίασης ασφαλείας

Phonandroid : actu Android et High-tech

Τα WhatsApp, Skype και Slack είναι ευάλωτα. Αυτά τα τρία λογισμικά βασίζονται στην τεχνολογία Electron, η οποία έχει ένα σημαντικό ελάττωμα ασφαλείας. Οι προγραμματιστές έχουν προειδοποιηθεί, αλλά προς το παρόν γυρίζουν ένα κωφό αυτί και δεν έχει αναπτυχθεί κανένα έμπλαστρο για να το διορθώσει.

Κατά τη διάρκεια του συνεδρίου ασφαλείας BSides LV στο Λας Βέγκας, ο προγραμματιστής Πάβελ Τσακαλίδης παρουσίασε ένα σοβαρό ελάττωμα ασφαλείας στην πλατφόρμα Electron, με βάση το JavaScript και το Node.js. Πρόβλημα: Χρησιμοποιείται από πολλές πολύ δημοφιλείς εφαρμογές επικοινωνίας, συμπεριλαμβανομένων των WhatsApp, Skype και Slack. Επομένως, όλο αυτό το λογισμικό είναι δυνητικά εκτεθειμένο, όπως αναφέρει η Ars Technica.

Τα WhatsApp, Skype και Slack βασίζονται στην πλατφόρμα Electron, η οποία ενέχει κίνδυνο ασφαλείας

Ο Πάβελ Τσακαλίδης έχει αναπτύξει ένα εργαλείο που βασίζεται σε Python για να δείξει τις ευπάθειες του Ηλεκτρονίου.
Αυτό επιτρέπει σε κάποιον να αποσυμπιέσει αρχεία αρχειοθέτησης Electron ASAR και να εισάγει νέο κώδικα σε βιβλιοθήκες JavaScript και επεκτάσεις προγράμματος περιήγησης Chrome. Κωδικός που μπορεί φυσικά να είναι κακόβουλος. Και δεν είναι μόνο αυτό: το ελάττωμα επιτρέπει επίσης την απόκρυψη κακόβουλης δραστηριότητας σε διαδικασίες που φαίνονται αβλαβείς. Επομένως, τα συστήματα προστασίας από ιούς και προστασίας μπορούν να χαθούν.

Διαβάστε επίσης: WhatsApp: ένα παραθυράκι μπόρεσε να σας στείλει μηνύματα για περισσότερο από ένα χρόνο

Ο προγραμματιστής εξηγεί ότι η πραγματοποίηση τέτοιων αλλαγών απαιτεί πρόσβαση διαχειριστή σε Linux και MacOS, αλλά η τοπική πρόσβαση είναι επαρκής στα Windows, η οποία επομένως είναι πιο εκτεθειμένη από άλλα λειτουργικά συστήματα. Οι χάκερ μπορούν ενδεχομένως να αποκτήσουν πρόσβαση στο σύστημα αρχείων, να ενεργοποιήσουν μια κάμερα web και να εξαιρέσουν πληροφορίες από συστήματα χρησιμοποιώντας τη λειτουργικότητα αξιόπιστων εφαρμογών. Προειδοποίησε την Electron για αυτήν την παραβίαση ασφαλείας, αλλά μέχρι στιγμής δεν έχει λάβει απάντηση από αυτούς. Η ευπάθεια δεν έχει διορθωθεί.

Πηγή: Ars Technica