一组安全研究人员发现了一个重大安全漏洞,可能会影响数百万用户。正是在拉斯维加斯举行的黑帽会议(专门讨论网络安全的会议)期间,研究人员小组提出了他们的工作结论。他们发现 Discord、Microsoft Teams、Spotify 等应用程序都是同一缺陷的受害者。
这怎么可能?很简单,因为它的不同服务的应用程序都依赖于 Electron,一个框架致力于开发基于网络技术的多平台应用程序。它基于 Chromium(Google Chrome 的免费版本),被开发人员广泛使用,因为它使得创建主要依赖于 Web 运行的应用程序变得非常容易。
总而言之,这个许多应用程序通用的软件块在某种程度上允许开发人员将 WebApp 封装在通用容器中。后者将能够在所有操作系统上运行,并将为最终用户提供类似于本机应用程序的行为。
可能允许黑客控制您的计算机的缺陷
研究人员提供了有关黑客可能用来利用该漏洞的过程的一些详细信息。在 Discord 上,一个简单的视频恶意链接就足够了,而在 Microsoft Teams 上,必须通过邀请受害者加入会议来利用该缺陷。在这两种情况下,点击恶意链接的潜在受害者只会让黑客控制他们的机器。
为了避免这种不便,研究小组建议用户避免点击他们认为可疑的链接。他们还建议优先使用常用 Web 浏览器中的 WebApp,这比基于 Electron 的应用程序更安全,可以抵御黑客攻击。事实上,网络浏览器经常更新,例如 Google Chrome 每四个星期更新一次,每次都会发布大量安全补丁。
在公开披露他们的发现细节之前,研究小组联系了 Electron 的开发者 Github,将他们的发现提交给他们,以便进行必要的修正。这也让他们获得了10,000美元的奖励。
来源 : 母板
