imágenes falsas
LAS VEGAS: la plataforma de desarrollo Electron es una parte clave de muchas aplicaciones, gracias a sus capacidades multiplataforma. Basado en JavaScript y Node.js, Electron se ha utilizado para crear aplicaciones cliente para herramientas de comunicación de Internet (incluidos Skype, WhatsApp y Slack) e incluso la herramienta de desarrollo Visual Studio Code de Microsoft. Pero Electron también puede representar un riesgo de seguridad significativo debido a la facilidad con la que se pueden modificar las aplicaciones basadas en Electron sin activar advertencias.
En la conferencia de seguridad BSides LV el martes, Pavel Tsakalidis demostró una herramienta que creó llamada BEEMKA, una herramienta basada en Python que permite a alguien descomprimir archivos de archivo ASAR de Electron e inyectar código nuevo en las bibliotecas de JavaScript de Electron y las extensiones integradas del navegador Chrome. La vulnerabilidad no es parte de las aplicaciones en sí, sino del marco Electron subyacente, y esa vulnerabilidad permite que las actividades maliciosas se oculten dentro de procesos que parecen ser benignos. Tsakalidis dijo que se había puesto en contacto con Electron sobre la vulnerabilidad, pero que no había obtenido respuesta, y la vulnerabilidad permanece.
Si bien estos cambios requerían acceso de administrador en Linux y MacOS, solo requieren acceso local en Windows. Esas modificaciones pueden crear nuevas «características» basadas en eventos que pueden acceder al sistema de archivos, activar una cámara web y filtrar información de los sistemas utilizando la funcionalidad de aplicaciones confiables, incluidas las credenciales de usuario y los datos confidenciales. En su demostración, Tsakalidis mostró una versión con puerta trasera de Microsoft Visual Studio Code que enviaba el contenido de cada pestaña de código abierta a un sitio web remoto.
Una demostración de una versión con puerta trasera de BEEMKA de la aplicación BItWarden.
No es un error, es una característica.
El problema radica en que los propios archivos Electron ASAR no están encriptados ni firmados, lo que permite modificarlos sin cambiar la firma de las aplicaciones afectadas. El equipo de Electron cerró sin acción una solicitud de los desarrolladores para poder cifrar archivos ASAR.
El código insertado en el ASAR puede ejecutarse dentro del contexto de la aplicación o dentro del contexto del propio marco Electron. El código de la aplicación es «JavaScript simple y antiguo», explicó Tsakalidis, capaz de llamar a los módulos operativos específicos de Electron, incluidos los controles de micrófono y cámara, así como las interfaces del sistema operativo. El código inyectado en las extensiones internas de Chrome de Electron puede permitir a los atacantes eludir las verificaciones de certificados, de modo que, si bien el código aún puede forzar las comunicaciones a través de HTTPS, un atacante puede usar un certificado autofirmado en un sistema remoto para la exfiltración. Y las comunicaciones web pueden alterarse o bloquearse por completo, incluidas las funciones de actualización de las aplicaciones, lo que evitaría que se instalen automáticamente nuevas versiones, lo que desplazaría a la aplicación de puerta trasera.
Tsakalidis dijo que para realizar modificaciones en las aplicaciones de Electron, se necesita acceso local, por lo que los ataques remotos para modificar las aplicaciones de Electron no son (actualmente) una amenaza. Pero los atacantes podrían hacer una puerta trasera a las aplicaciones y luego redistribuirlas, y es poco probable que las aplicaciones modificadas activen advertencias, ya que su firma digital no se modifica.
