源 / 开源中国    文 / 局长

因其跨平台能力,Electron 开发框架是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。

在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他向了 Electron 团队报告了此漏洞但没有得到回应,而且目前这个漏洞仍然存在。

虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站。

Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。

-END-

转载声明:本文转载自[开源中国]。

type=file的未选择任何文件修改_Electron应用易“招黑”,轻松被修改并植入后门...相关推荐

  1. input[type=file]去掉“未选择任何文件”及样式改进

    原文地址:input[type=file]去掉"未选择任何文件"及样式改进 - 腾讯云开发者社区-腾讯云 input 标签的 file 属性,在没有选择文件的情况下,默认显示一条文 ...

  2. type=file的未选择任何文件修改_Excel基础—文件菜单之创建保存

    点赞再看,养成习惯:勤能补拙是良训,一分辛劳一分才. 微信搜索[亦心Excel]关注这个不一样的自媒体人. 本文GitHub https://github.com/hugogoos/Excel 已收录 ...

  3. type=file的未选择任何文件修改_PDF文件怎样输入到CAD图纸中?懂得这个功能可以快速实现...

    PDF和DWG是CAD设计师经常会用到的文档格式.一般来说,PDF文件主要用于信息交流,设计师将DWG图纸输出为PDF文件,可以避免数据被修改.有些情况下,设计师也需要反向将PDF文件转换为DWG数据 ...

  4. input[type=file]如何屏蔽“未选择任何文件”

    在input中file文件类型是用来选择上传文件用的,但是这个文件选择框有个提示信息--未选择任何文件,甚至还可能不显示自己设置的提示信息,并且还可能点击空白地方(设置透明的opacity: 0;), ...

  5. input type=file accept=.zip上传文件响应慢的问题解决办法

    在谷歌和火狐中使用 accept=".zip" 属性发现响应延迟的问题. 于是几经尝试后,发现是 accept=".zip" 属性的问题,删掉它或者将 * 通配 ...

  6. <input type=“file“>实现上传文件

    嗨害嗨,我又来了奥.今天讲一个项目中常见的例子,就是利用input type="file"来进行表单上传文件.首先,我们写好html,如下. <form id="f ...

  7. HTML5 - 限制input file 可选择的文件类型

    前言 实现选择文件并上传的功能时,都会用到 input file 控件.     <input id="inputFile" type="file" /& ...

  8. js获取用户选择的文件路径[曲线救国]

    JavaScript如何获取用户input[type=file]选择的文件路径呢? 首先,JavaScript本身是无法通过input[type=file]获取用户选择的文件路径的,这条路是行不通的. ...

  9. 使用input type=file 上传文件时需注意

    在asp.net的中使用<input type='file' />控件上传文件对文件的大小有限制,默认情况下大概在4m左右,如果上传再大的文件时就会出页面无法显示的错误. 修改web.co ...

  10. 自定义input[type=file]的兼容样式

    input[type="file"]的样式在各个浏览器中的表现不尽相同: 1. chrome: 2. firefox: 3. opera: 4. ie: 5. edge: 另外,当 ...

最新文章

  1. AMDD 一个把大问题分成小问题的优化算法
  2. windows 任务管理器,查看进程id,进程标识符pid
  3. Android Hook (1) Dexposed原理
  4. 高效java工具类总结
  5. Spring Boot 项目总是创建失败,这几个备选方案一定要收藏
  6. kafka基本概念和hello world搭建
  7. scala case class入门
  8. python解析xml格式的excel_Python 读取二进制、HTML 、XML 格式存储的 Excel 文件
  9. 此版本专旧版本为android,关于Android9.0 此应用专为旧版Android打造,因此可能无法正常运行。请尝试检查更新或与开发者联系...
  10. windows配置pip加速器
  11. Spring Validation 验证框架全面总结
  12. 移位运算(计算机组成原理15)
  13. 2021-05-11PLC通信Libnodave-明天继续
  14. uniapp小程序使用getUserProfile登录(获取昵称统一为‘微信用户’+头像为灰色头像)
  15. 用计算机画有常数的函数图像,信息技术应用 用计算机画函数图象教学实录及点评...
  16. PHPWAMP乱码一键解决,PHP乱码通用解决方案/网站乱码的多种原因分析
  17. uniapp switch按钮的使用
  18. win7 删除java_windows7系统卸载java的操作方法?
  19. list<Map> 转list对象
  20. 基于java的网络在线考试管理系统的设计与实现--毕业开题报告

热门文章

  1. pip3 install mysqlclient 报错 “/bin/sh: 1: mysql_config: not found”的解决方法
  2. 清北2017夏令营考试 day2
  3. 使用VNC完毕远程调用图形化
  4. 不解决这六个问题,农商行怎么去玩大数据?
  5. ArcGIS多面体(multipatch)解析——引
  6. PostgreSQL学习手册(函数和操作符三)
  7. mybatis-plus 自定义UpdateWrapper(二)实现列的case set
  8. java请求url拼接xml_java访问一个URL,会返回给你一个XML格式的数据,该怎么实现?...
  9. MySQL8.0 - 新特性 - 临时表改进 1
  10. 春运前夕探秘动车所里的“动车体检医生”