Güvenlik araştırmacıları, Discord, Microsoft Teams, Spotify ve diğerleri gibi popüler uygulamaların altında yatan yazılımda bir dizi güvenlik açığı keşfetti.
Raporlar, bir grup araştırmacının Las Vegas’taki Black Hat siber güvenlik konferansında bulgularını sunarak Discord, Microsoft Teams ve sohbet uygulaması Element’i kullanan on milyonlarca kullanıcıyı hepsinin altında yatan yazılımı kullanarak nasıl hackleyebileceklerini açıkladıklarını söylüyor. : Elektron.
Elektron nedir? Nasıl Savunmasızlar?
GitHub tarafından geliştirilen ve sürdürülen ücretsiz ve açık kaynaklı bir yazılım çerçevesidir. Çerçeve, Chromium tarayıcı motorunun bir çeşidi kullanılarak oluşturulan web teknolojilerini ve Node.js çalışma zamanı ortamını kullanan bir arka uç kullanarak masaüstü uygulamaları oluşturmak için tasarlanmıştır.
Araştırmacılar, kendilerine 10.000 dolardan fazla ödül kazandıran bir düzeltme bulmak için güvenlik açıklarını Electron’a bildirdiler. Raporlar, araştırmacıların araştırmalarını yayınlamadan önce hataların düzeltildiğini belirtiyor.
Bu güvenlik açıklarını keşfeden Aaditya Purani adlı araştırmacılardan biri, “normal kullanıcıların Electron uygulamalarının günlük tarayıcılarıyla aynı olmadığını bilmeleri gerektiğini”, yani potansiyel olarak daha savunmasız olduklarını söylüyor.
Discord gibi uygulamalarda, Purani ve arkadaşlarının bulduğu hata, yalnızca bir videoya kötü amaçlı bir bağlantı göndermelerini gerektiriyordu. Microsoft Teams’de buldukları hata, bir toplantıya bir kurban davet edilerek kullanılabilir.
Bu nedenle, her iki senaryoda da, hedef sistemlerin tam kontrolünü sağlayacak şekilde hedefler bu bağlantılara tıklarsa, istismar çalışır.
Purani, “Daha fazla paranoyaksanız, web sitesini kullanmanızı öneririm çünkü o zaman Chromium’un sahip olduğu ve Elektron’dan çok daha büyük olan korumaya sahipsiniz” dedi.
Purani, Electron uygulamalarını çalıştırmadığını, bunun yerine tarayıcısında bilgisayar korsanlarına karşı daha sert olan Discord veya Spotify gibi uygulamaları kullanmayı tercih ettiğini itiraf ediyor. Ayrıca Electron’un bu kadar çok uygulamanın altında yattığını söylüyor çünkü “tüm uygulamaları çalıştıran tek bir çerçeveniz varsa, o zaman aynı çerçeveyi güçlendirmeye odaklanabilirsiniz.”
Bu nedenle Electron, kullanıcıların Discord veya Microsoft Teams’de paylaşılan bağlantılara tıklama olasılığı çok yüksek olduğundan tam olarak tehlikelidir. Purani, “Bağlantılara gölgeli tıklamayın” diyerek ekledi.
Sponsorlu: Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin