Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Олег Иванов 14 Мая 2018 - 08:46

...

Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Эксперты в области безопасности обнаружили новую уязвимость в разработанном GitHub фреймворке Electron. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — могут быть в опасности.

Напомним, что Electron позволяет разрабатывать нативные графические приложения для настольных операционных систем с помощью веб-технологий. Фреймворк включает в себя Node.js, для работы с back-end, и библиотеку рендеринга из Chromium.

API-интерфейсы Node.js и встроенные модули предоставляют разработчикам более широкую интеграцию с ОС, соответственно, позволяя получить доступ к большему количеству функций ОС. Чтобы помешать использованию функций ОС во вредоносных целях, команда Electron создала механизм, который предотвращает атаки на приложения.

«Приложения на основе Electron, как правило, представляют собой веб-приложения. Это значит, что они подвержены риску атак межсайтового скриптинга из-за неспособности правильно обработать вводимую пользователем информацию», — говорится в отчете, опубликованном Trustwave.

«Стандартное приложение Electron включает в себя доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Благодаря этому возможность XSS-атаки сильно возрастает, так как злоумышленник может выполнить системные команды на стороне клиента».

У приложений, запускающих HTML и JS-код, по умолчанию включена опция «nodeIntegration: false», это значит, что доступ к API и модулям Node.js по умолчанию отключен. Тег WebView позволяет разработчикам встраивать контент — например, веб-страницу — в приложение на основе Electron и запускать его как отдельный процесс.

«При использовании тега WebView вы также можете передавать несколько атрибутов, включая nodeIntegration», — продолжают эксперты.

Исследователь Trustwave Брендан Скарвелл обнаружил, что можно изменить параметр nodeIntegration на «true», что позволит вредоносному приложению получить доступ к API и модулям Node.js и использовать дополнительные функции ОС.

Уязвимость можно проэксплуатировать только в том случае, если разработчик приложения специально не установит параметр «webviewTag: false» в файле конфигурации webPreferences.

Эксперт опубликовал подтверждающий концепцию бреши код (proof-of-concept), который злоумышленник может использовать для XSS-атаки.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 10 Февраля 2026 - 12:08

Соответствие законодательству РФ Общее

ГАИ проиграла суд против роботов-доставщиков

Московский городской суд отклонил жалобу ГАИ на решение суда первой инстанции, который не усмотрел в действиях роботов-доставщиков состава административного правонарушения, связанного с нарушением Правил дорожного движения. Ранее ГАИ обвинило дочернюю компанию Яндекса — «Рободоставку» — в нарушении ПДД.

Поводом для разбирательства стало происшествие 7 марта, когда инспектор ГАИ счёл, что робот-доставщик, передвигавшийся по тротуару, создаёт помехи пешеходам.

По мнению инспектора, это подпадало под статью 12.33 КоАП РФ. Компании «Рободоставка» в этом случае грозил штраф в размере 300 тыс. рублей.

Представители Яндекса с такой трактовкой не согласились, указав, что в действиях роботов-доставщиков отсутствует и не может присутствовать умысел. Дело было рассмотрено в Мещанском районном суде Москвы, который поддержал позицию компании.

«Роботы-доставщики не относятся к транспортным средствам, определённым нормами действующего законодательства. Как следует из видеозаписи, робот-доставщик передвигался по краю тротуара, не перекрывая пешеходную зону, автоматически останавливался при приближении людей. Пешеходы продолжали движение. Контакта, вынужденного сближения, опасных манёвров или остановок зафиксировано не было. Следовательно, объективных признаков угрозы безопасности дорожного движения не имелось», — такую выдержку из решения суда приводит Autonews.

ГАИ с таким решением не согласилась и подала жалобу в Московский городской суд. Однако Мосгорсуд оставил её без удовлетворения. Решение было принято ещё 5 февраля, но опубликовано только вечером 9 февраля.

«Мы работаем над тем, чтобы роботы-доставщики безопасно и корректно интегрировались в городскую среду и городскую инфраструктуру в рамках экспериментального правового режима, а также находимся в постоянном взаимодействии с профильными ведомствами. Подобные кейсы помогают формировать и развивать понятные правила использования автономных устройств в городе по мере накопления практического опыта», — прокомментировали судебное решение в Яндексе.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »