雅博体育app下载|首页

热门关键词:

您的位置: 主页 > 资讯动态 > 品牌活动 >
Electron应用易“招黑”,轻松被修改并植入后门
作者:雅博体育app下载 来源:雅博体育app下载 点击: 发布日期: 2021-09-10 00:52
信息摘要:
因其混合开发能力,Electron软件开发平台是很多运用的重要构成部分。根据JavaScript和Node.js的Electron被用以Skype、WhatsApp和Slack等时兴信息运用,乃至被用以微软公司的VisualStudioCode开发环境。但Electron也会产生安全风险,由于根据它的运用会被轻轻松松地改动并嵌入侧门——而不容易开启一切警示。...
本文摘要:因其混合开发能力,Electron软件开发平台是很多运用的重要构成部分。根据JavaScript和Node.js的Electron被用以Skype、WhatsApp和Slack等时兴信息运用,乃至被用以微软公司的VisualStudioCode开发环境。但Electron也会产生安全风险,由于根据它的运用会被轻轻松松地改动并嵌入侧门——而不容易开启一切警示。

雅博体育app下载

因其混合开发能力,Electron软件开发平台是很多运用的重要构成部分。根据JavaScript和Node.js的Electron被用以Skype、WhatsApp和Slack等时兴信息运用,乃至被用以微软公司的VisualStudioCode开发环境。但Electron也会产生安全风险,由于根据它的运用会被轻轻松松地改动并嵌入侧门——而不容易开启一切警示。

在上周二的BSidesLV安全生产会议上,安全性研究员PavelTsakalidis演试了一个他建立的应用Python开发设计的专用工具BEEMKA,此专用工具容许缓解压力ElectronASAR存档文件,并将新编码引入到JavaScript库和内嵌Chrome浏览器拓展。安全性研究员表明他利用的系统漏洞没有应用程序中,而在应用程序应用的最底层架构Electron中。Tsakalidis称他联系了Electron但沒有获得答复,并且这一系统漏洞依然存有。

雅博体育app下载

尽管开展这种变更在Linux和macOS上必须应用管理人员访问权限,但在Windows上只需当地访问权限就可以。这种改动能够建立新的根据恶性事件的“作用”,能够浏览系统文件,激话Webcam,并应用受信任感应用程序的作用从系统软件中泄漏的信息内容(包含客户凭证和隐秘数据)。在他的演试中,Tsakalidis展现了一个侧门版本的MicrosoftVisualStudioCode,它将开启的每一个编码菜单栏的內容发送至远程控制网址。Tsakalidis强调,难题取决于ElectronASAR文档自身未数据加密或签字,容许不在变更受影响应用程序的签字的状况下对其开展改动。

开发者规定有着数据加密ASAR文件权限的要求被Electron精英团队关掉,但她们都没有采取任何行動。


本文关键词:Electron,应用,易,“,招黑,雅博体育app下载,”,轻松,被,修改,并

本文来源:雅博体育app下载-www.huji-lighting.com

全国服务热线

019-188093621