Electron est un framework, une base ou une structure de développement pour des logiciels. Très populaire, il est utilisé pour Skype, Slack, WhatsApp ou encore le gestionnaire de mots de passe Bitwarden.
A la conférence BSides Las Vegas sur la sécurité informatique, un développeur du nom de Pavel Tsakalidis a dévoilé un outil pouvant accéder à une backdoor d’Electron et offrant la possibilité à un hackeur d’accéder à différents paramètres de l’ordinateur comme la webcam ou des fichiers stockés en interne.
Encore plus dangereux sur Windows
Il a pu développer son outil sur Windows, Linux et MacOS. Cependant, les deux derniers requièrent les droits administrateurs alors que Windows ne demande que les droits pour accéder au stockage. Il est ainsi encore plus facile d’attaquer Electron depuis un ordinateur sous l’OS de Microsoft.
Le problème d’Electron sont que certains fichiers ne sont pas chiffrés et le logiciel n’ira pas vérifier leur vulnérabilité au lancement, ouvrant la porte à des attaques discrètes.
Pour montrer un exemple de ce qu’une application modifiée par son outil pouvait créer, il a utilisé Bitwarden. Lorsqu’il est lancé, il va envoyer toutes les informations sur les mots de passe et les identifiants au pirate.
Pavel Tsakalidis a contacté Electron pour leur communiquer en détail ce qui était à corriger mais il n’a pas eu de réponse pour l’instant.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
il reste le tam tam. pas de hack, par contre les termites sont vos virus
Apparemment le français n'est pas ton fort non plus...
Bah ton article confirme bien mon idée finalement 🤔 On parle d'injection de code qui ne modifie pas la signature du programme : certes il s'agit d'une faille, mais encore une fois il faut télécharger le dit programme dont le code a été altéré, ce qui a peu de chances d'arriver en utilisant des canaux de distributions fiables.
Rigolo va ... Et ça ca signifie quoi le génie ? "At the BSides LV security conference on Tuesday, Pavel Tsakalidis demonstrated a tool he created called BEEMKA, a Python-based tool that allows someone to unpack Electron ASAR archive files and inject new code into Electron's JavaScript libraries and built-in Chrome browser extensions." Y a bien une faille dans Electron exploitable sans passer par une Apps tierce modifiée ...
"le problème sont", ça choque un peu... J'ai essayé de passer par "signaler une erreur" mais ça m'affiche un code de vérification invalide.
Heu non , l'article est surtout très vague et pas précis du tout^^ https://arstechnica.com/information-technology/2019/08/skype-slack-other-electron-based-apps-can-be-easily-backdoored/ Il n'est pas question d'apps modifiées pour ressembler aux vraies comme vous semblez le penser
La "faille" est qu'à partir du moment où quelqu'un a accès à votre ordinateur, il peut modifier le code de l'application Electron... Attendez, s'il a accès à l'ordinateur, il peut pas déjà faire tout ce qu'il veut ?! L'autre revers de la "faille" est que vous pouvez télécharger une version modifiée et malveillante d'une appli... Bah, téléchargez sur le site de l'éditeur ?
Même si l'article ne donne pas beaucoup de détails, je te retiens quand même qu'il faut utiliser une version modifiée du programme de messagerie pour être vulnérable, donc partant de là... Il me semble logique de ne faire confiance qu'aux sites et applications officiels !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix