Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Олег Иванов 14 Мая 2018 - 08:46

...

Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Эксперты в области безопасности обнаружили новую уязвимость в разработанном GitHub фреймворке Electron. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — могут быть в опасности.

Напомним, что Electron позволяет разрабатывать нативные графические приложения для настольных операционных систем с помощью веб-технологий. Фреймворк включает в себя Node.js, для работы с back-end, и библиотеку рендеринга из Chromium.

API-интерфейсы Node.js и встроенные модули предоставляют разработчикам более широкую интеграцию с ОС, соответственно, позволяя получить доступ к большему количеству функций ОС. Чтобы помешать использованию функций ОС во вредоносных целях, команда Electron создала механизм, который предотвращает атаки на приложения.

«Приложения на основе Electron, как правило, представляют собой веб-приложения. Это значит, что они подвержены риску атак межсайтового скриптинга из-за неспособности правильно обработать вводимую пользователем информацию», — говорится в отчете, опубликованном Trustwave.

«Стандартное приложение Electron включает в себя доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Благодаря этому возможность XSS-атаки сильно возрастает, так как злоумышленник может выполнить системные команды на стороне клиента».

У приложений, запускающих HTML и JS-код, по умолчанию включена опция «nodeIntegration: false», это значит, что доступ к API и модулям Node.js по умолчанию отключен. Тег WebView позволяет разработчикам встраивать контент — например, веб-страницу — в приложение на основе Electron и запускать его как отдельный процесс.

«При использовании тега WebView вы также можете передавать несколько атрибутов, включая nodeIntegration», — продолжают эксперты.

Исследователь Trustwave Брендан Скарвелл обнаружил, что можно изменить параметр nodeIntegration на «true», что позволит вредоносному приложению получить доступ к API и модулям Node.js и использовать дополнительные функции ОС.

Уязвимость можно проэксплуатировать только в том случае, если разработчик приложения специально не установит параметр «webviewTag: false» в файле конфигурации webPreferences.

Эксперт опубликовал подтверждающий концепцию бреши код (proof-of-concept), который злоумышленник может использовать для XSS-атаки.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 20:20

Соответствие законодательству РФ Общее

Российским сайтам готовят штрафы до 700 тысяч за иностранную аутентификацию

Госдума окончательно одобрила законопроект, который вводит новые штрафы для владельцев сайтов и онлайн-сервисов. Под удар попадают площадки, которые продолжают использовать зарубежные способы аутентификации пользователей вместо предусмотренных российским законодательством механизмов. Документ принят сразу во втором и третьем чтениях.

Согласно новым нормам, сайты и сервисы должны обеспечивать аутентификацию пользователей через российский номер телефона, портал «Госуслуги», Единую биометрическую систему или другие российские информационные системы, принадлежащие гражданам или компаниям РФ.

Если ресурс продолжит использовать для входа иностранные сервисы или зарубежную электронную почту в качестве механизма аутентификации, владельцу может грозить серьёзный штраф. Для юридических лиц он составит от 500 до 700 тысяч рублей. Для должностных лиц предусмотрены штрафы от 30 до 50 тысяч рублей, для граждан — от 10 до 20 тысяч рублей.

Закон также усиливает ответственность для владельцев интернет-платформ с рекомендательными алгоритмами. Штрафы предусмотрены за сбор информации о предпочтениях пользователей с нарушением законодательства, отсутствие уведомлений о работе рекомендательных систем, а также за непубликацию правил их использования и контактных данных для юридически значимых обращений.

Размер санкций здесь такой же — до 700 тысяч рублей для юридических лиц. При повторном нарушении штрафы могут вырасти до 1,4 млн рублей.

Отдельный блок поправок касается операторов связи. Для них вводится ответственность за нарушение правил взаимодействия с правоохранительными органами во время оперативно-разыскных мероприятий и мероприятий по обеспечению безопасности.

Если оператор нарушит установленный порядок или раскроет методы проведения таких мероприятий, компании может грозить штраф от 3 до 5 млн рублей.

За повторные нарушения наказание станет ещё жёстче. В этом случае может применяться оборотный штраф в размере до 3% годовой выручки. При этом минимальный порог санкций повышается с 1 млн до 10 млн рублей.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!