サイバーセキュリティ研究者は、Discord や Spotify を含む多くのアプリで使用されている人気のフレームワークである Electron に欠陥があることを発見しました。これにより、知識のあるハッカーであれば誰でも簡単に被害者のアカウントを入手できるようになります。幸いなことに、Electron 開発者は警告を受け、脆弱性を修正しました。
アプリケーションで欠陥が見つかったという事実だけですでに十分な危険が生じていますが、多くの非常に人気のあるアプリケーションで使用されているフレームワークで欠陥が見つかった場合、本当のセキュリティ上の問題に直面することになります。これはまさにエレクトロンに起こったことです。この名前を知らなかったとしても、日常的に使用している可能性が非常に高いです。
Electron は実際、ユーザーにデスクトップ バージョンを提供したい Web アプリケーションのためのリファレンス フレームワークです。 Discord、Spotify、そして Microsoft Teams などのいくつかのオンライン メッセージング サービス全体は後者に基づいており、それぞれ数千万人のユーザーがいます。しかし、今週木曜日、8 月 11 日にラスベガスで開催された Black Hat カンファレンスで、研究者グループは、Electron と、事実上、Electron を使用するアプリケーションをハッキングするのは非常に簡単であることを明らかにしました。
同じテーマについて —Spotify:偽アーティストがアカウントをハッキングして架空のプレイを生成
この大きな欠陥により、すべての Electron ベースのアプリケーションは脆弱になりました
そこで研究者らは、ハッカーにとって作業が特に簡単になるDiscordを例に挙げた。実際、後者にとっては、ビデオへの悪意のあるリンク (プラットフォーム上にすでに大量に存在するリンク) を被害者に送信してアカウントを乗っ取るだけで十分でした。メッセージングにとって悪いニュースすでに複数のハッカー攻撃の餌食となっている。
Microsoft Teams の場合は、単純な会議への招待で十分です。送信されたリンクにより、ハッカーはターゲットの PC を制御できるようになりました。 「一般のユーザーは、Electron アプリケーションが日常のブラウザーと同じではないことを知っておくべきです」と Aaditya Purani 氏は強調します。彼自身も Electron アプリケーションを決して使用したことがないと認めています。研究者らは発見をフレームワーク開発者に報告し、フレームワーク開発者はすぐに欠陥を修正しました。
ソース :副
