برنامههای کاربردی مبتنی بر پلتفرم Electron در برابر حملات درب پشتی آسیبپذیرند
پلتفرم توسعه الکترون (Electron) به دلیل بهره مندی از قابلیتهای چند سکویی، عنصر اصلی بسیاری از برنامههای کاربردی به شمار میرود. الکترون مبتنی بر JavaScript و Node.js در برنامههای پیام رسان محبوب مانند Skype ،WhatsApp و Slack و حتی در ابزارهای توسعه ویژوال استودیو کد مایکروسافت استفاده میشود.
اما الکترون با یک خطر امنیتی مواجه است، به طوری که هکرها میتوانند به راحتی این پلتفرم را از طریق حمله درب پشتی در معرض آسیب قرار دهند.
در کنفرانس امنیتیBSides LV، یک پژوهشگر امنیتی، ابزاری مبتنی بر پایتون با نام BEEMKA را نشان داد، که به پروندههای بایگانی Electron ASAR اجازه استخراج میدهد و کدهای جدیدی را به کتابخانههای جاوا اسکریپت و افزونههای مرورگر کروم تزریق میکند.
این آسیبپذیری در برنامه کاربردی وجود ندارد، بلکه در فریمورک زیربنایی الکترون که توسط برنامه کاربردی مورد استفاده قرار میگیرد، قابل شناسایی است. با وجود اطلاع رسانی به توسعه دهندگان الکترون در رابطه با وجود این آسیبپذیری، هنوز پاسخی مبنی بر تایید یا رد این مشکل از جانب آنها دریافت نشده است.
