Platforma za razvoj programske opreme Electron je po zaslugi svoje vsestranskosti prisotna v večjem številu aplikacij, ki jih uporabljamo vsakodnevno: Skype, WhatsApp, Slack, Discord, Signal in še več. Razlog za priljubljenost platforme je preprost: aplikacije in programe, zasnovane na Electronu, je mogoče enostavno prenašati med različnimi operacijskimi sistemi. Platforma temelji na programskih jezikih JavaScript in Node.js.
Na konferenci za informacijsko varnost BSides v Las Vegasu je v torek bila predstavljena velika in problematična varnostna luknja v platformi. Udeleženec konference Pavel Tsakalidis je predstavil programsko orodje, zgrajeno s programskim jezikom Python, ki omogoča odpiranje arhivskih datotek (ASAR datoteke) platforme Electron in spreminjanje njihove programske kode. Orodje se imenuje BEEMKA, za njegovo uporabo pa je potrebno najprej imeti dostop do računalnika tarče.
Po uspešnem dostopu do računalnika in do lokacije, na kateri je program, ki ga želimo spremeniti, je z orodjem mogoče enostavno odpreti datoteke electron.asar in vanje dodati lastno kodo. Z lastno kodo lahko napadalec doseže marsikaj – dokaj enostavno je namreč mogoče v poljubno aplikacijo, zgrajeno na Electronu, dodati kodo za zajem slik zaslona, kopiranje uporabniških gesel ter prestrezanje prometa, ki poteka preko aplikacij. Mogoče je tudi dostopati do spletne kamere, priključene na računalnik.
Antivirusni program ne bo zaznal napada; Windows bolj ogrožen
Ker je to del same programske platforme, spremembe v delovanju aplikacije niso opazne. Ravno tako napada ne bodo zaznali razni antivirusni programi. Za spreminjanje datotek na operacijskih sistemih macOS in Linux je potrebno imeti administratorske pravice, za operacijski sistem Windows pa za dostop do ključnih datotek zadostuje že dostop s pravicami običajnega uporabnika.
Razlog za obstoj pomanjkljivosti tiči v tem, da datoteke electron.asar ne vsebujejo nikakršnega digitalnega podpisa, njihova vsebina pa ni šifrirana. Tsakalidis je že opozoril skrbnike platforme na pomanjkljivost, vendar ni prejel nikakršnega odgovora. Veliko uporabnikov platforme je sicer že zahtevalo možnost šifriranja občutljivih datotek, vendar so tudi oni ostali brez odgovora.
Ker za tovrsten napad še ni prave zaščite (z izjemo neuporabe aplikacij), Tsakalidis priporoča sledeče ukrepe:
- Programe redno posodabljajte, saj se s tem datoteke electron.asar osvežijo z novimi.
- Ravno tako je priporočljiva namestitev programov v mapo, ki zahteva administratorski dostop, recimo Program Files, uporabljajte pa jih kot običajni uporabnik.
Uvodna fotografija: Unsplash
