WhatsApp、Skype、Slack には脆弱性があります。これら 3 つのソフトウェア プログラムは、重大なセキュリティ上の欠陥がある Electron テクノロジーに基づいています。開発者は警告を受けていますが、今のところ彼らは耳を貸さず、これを修正するパッチは配布されていません。
ラスベガスで開催された BSides LV セキュリティ カンファレンス中に、開発者の Pavel Tsakalidis 氏は、JavaScript と Node.js をベースとした Electron プラットフォームに重大なセキュリティ上の欠陥があることを明らかにしました。問題: これは、WhatsApp、Skype、Slack など、いくつかの非常に人気のある通信アプリケーションで使用されています。したがって、Ars Technica の報告によれば、このソフトウェアはすべて暴露される可能性があります。
WhatsApp、Skype、Slack は Electron プラットフォームに依存しているため、セキュリティ リスクが生じます
Pavel Tsakalidis は、Electron の脆弱性を実証するために Python ベースのツールを開発しました。
これにより、誰かが Electron ASAR アーカイブ ファイルを解凍し、JavaScript ライブラリや Chrome ブラウザ拡張機能に新しいコードを挿入することが可能になります。もちろん悪意のあるコードである可能性があります。それだけではありません。この欠陥により、悪意のあるアクティビティが一見無害なプロセスに隠蔽されることも可能になります。したがって、ウイルス対策や保護システムが無視される可能性があります。
こちらもお読みください: WhatsApp: 欠陥により、1 年以上にわたってユーザーに代わってメッセージが送信されることが可能でした
開発者は、このような変更を行うには Linux および MacOS では管理者アクセスが必要ですが、Windows ではローカル アクセスで十分であるため、他のオペレーティング システムよりも危険にさらされやすいと説明しています。ハッカーは、信頼できるアプリケーションの機能を使用して、ファイル システムにアクセスし、Web カメラを起動し、システムから情報を窃取する可能性があります。同氏はこのセキュリティ侵害について Electron に通知したが、現在に至るまで返答は得られていない。脆弱性は修正されていません。
ソース :アルス テクニカ
