Electron 應用容易被修改並植入後門
因其跨平台能力,Electron開發平台是許多應用的關鍵組成部分。基於JavaScript和Node.js的Electron被用於Skype、WhatsApp和Slack等流行消息應用,甚至被用於微軟的Visual Studio Code開發工具。但Electron也會帶來安全隱患,容易修改植入後門。
安全研究員Pavel Tsakalidis演示了一個Python開發的工具BEEMKA,允許解壓Electron ASAR存檔文件,並將新代碼注入到JavaScript庫和內置Chrome瀏覽器擴展。
漏洞不是在應用程序中,而是在應用程序使用的底層框架Electron 中。
Tsakalidis 稱他聯絡了Electron 但沒有得到回應。