На конференції BSides LV, яка проходила в Лас-Вегасі, дослідник Джейк Цакалідіс представив свій інструмент BEEMKA для розпакування файлів і впровадження коду в JavaScript-бібліотеки Electron і вбудовані розширення для браузера Chrome.
Фреймворк Electron призначений для створення додатків, він користується великою популярністю у розробників і лежить в основі безлічі проектів. Electron базується на JavaScript і Node.js і використовується для створення клієнтських додатків Skype, WhatsApp, Slack та інших засобів спілкування в Інтернеті. Проте, як стверджує дослідник, Electron становить серйозну загрозу безпеці додатків.
Виявлена дослідником уразливість є не в самих додатках, а в використовуваному для їх створення фреймворку. Однак з її допомогою атакуючий може легко приховати шкідливу активність в легітимних процесах.
Для модифікування бібліотек і розширень атакуючому спочатку потрібно отримати права адміністратора на Linux або MacOS (у випадку з Windows достатньо мати локальний доступ). Впровадивши зміни до бібліотек і розширення, атакуючий може створити нові “функції”, які здатні отримувати доступ до файлової системи, включати web-камеру та видавати дані (в тому числі паролі) з системи за допомогою функціоналу довірених додатків.
На відео Джейк Цакалідіс продемонстрував версію Microsoft Visual Studio Code з бекдором, що відправляє введені користувачем дані на віддалений сайт. За словами дослідника, він повідомив Electron про уразливість, але не отримав жодної відповіді, і проблема як і раніше залишається невиправленою.
До речі, Apple запустила свою віртуальну кредитну карту у співпраці з банком Goldman Sachs Group Inc.
Нагадаємо, компанії Microsoft і Samsung оголосили про співпрацю, в рамках якої планують разом інвестувати у справу розширення можливостей приватних клієнтів і організацій.
Також з’явилося шкідливе ПЗ перетворює Ваші пристрої в ботів і додає їх до ботнету Echobot, у арсеналі якого вже 59 експлойтів.
Стало відомо, що підрядники Microsoft прослуховують особисті розмови користувачів Skype, що ведуться через службу-перекладач додатку, повідомляє видання Vice Motherboard.
Окрім цього, Microsoft випустила нову збірку 18956 Windows 10 для інсайдерів у рамках програми Fast Ring. Збірка містить безліч змін, у тому числі поліпшену сторінку “Стан мережі та Інтернету”, контроль над повідомленнями і новий компактний режим для калькулятора.
Експерти з компанії Check Point Research, що займається питаннями кібербезпеки, виявили три уразливості в месенджері WhatsApp.
Зверніть увагу, на презентації Samsung Galaxy Note 10 компанія Microsoft представила нову функцію додатка “Ваш телефон”, яка вже скоро дозволить здійснювати і приймати телефонні дзвінки на комп’ютері.
Компанії Microsoft і Samsung оголосили про співпрацю, в рамках якої планують разом інвестувати у справу розширення можливостей приватних клієнтів і організацій.
Компанія HYP3R збирала і зберігала інформацію про мільйони користувачів Instagram без їх відома, повідомляє видання Business Insider.