Araştırmacılar Discord, Microsoft Teams ve Diğer Uygulamaların Altında Yatan Yazılımda Güvenlik Açığı Buldu…

Milyonlarca kullanıcı tarafından kullanılan popüler uygulamaların hepsi Electron adı verilen aynı yazılımı çalıştırıyor…

Bir grup güvenlik araştırmacısı, tüm dünyada on milyonlarca kişi tarafından kullanılan Discord, Microsoft Teams, Spotify ve diğerleri gibi popüler uygulamaların altında yatan yazılımda bir dizi güvenlik açığı buldu.

Perşembe günü Las Vegas’ta düzenlenen Black Hat siber güvenlik konferansında bulgularını sunan araştırmacılar, Discord, Microsoft Teams ve sohbet uygulaması Element‘in altında yatan yazılımdan faydalanarak bunları kullanan kişileri nasıl hackleyebileceklerini detaylandırdılar: Electron, açık kaynak kodlu Chromium ve platformlar arası javascript ortamı Node JS üzerine inşa edilmiş bir framework.

Tüm bu vakalarda, araştırmacılar güvenlik açıklarını düzelttirmek için Electron‘a gönderdiler ve bu da onlara 10.000 dolardan fazla ödül kazandırdı. Hatalar, araştırmacılar araştırmalarını yayımlamadan önce düzeltildi.

Bu açıkları bulan araştırmacılardan biri olan Aaditya Purani, “normal kullanıcıların Electron uygulamalarının günlük tarayıcılarıyla aynı olmadığını bilmeleri gerektiğini", yani potansiyel olarak daha savunmasız olduklarını söyledi.

Discord örneğinde, Purani ve meslektaşlarının bulduğu açık sadece bir videoya kötü niyetli bir bağlantı göndermelerini gerektiriyordu. Microsoft Teams‘de ise buldukları açık, kurbanı bir toplantıya davet ederek kullanılabiliyordu. Purani konuşmasında, her iki durumda da hedeflerin bu bağlantılara tıklaması halinde bilgisayar korsanlarının bilgisayarlarının kontrolünü ele geçirebileceğini açıkladı.

Konuşmanın ardından basına verdiği röportajda, Electron uygulamalarını çalıştırmadığını, bunun yerine Discord veya Spotify gibi uygulamaları bilgisayar korsanlarına karşı daha dayanıklı olan tarayıcısının içinde kullanmayı tercih ettiğini itiraf etti.

Purani, “Eğer daha paranoyak iseniz, web sitesinin kendisini kullanmanızı tavsiye ederim çünkü o zaman Chromium’un sahip olduğu ve Electron’dan çok daha büyük olan korumaya sahip olursunuz" dedi.

Yine de Purani, Electron‘un bu kadar çok uygulamanın temelini oluşturmasının iyi bir şey olduğunu çünkü “tüm uygulamaları çalıştıran tek bir framework’ünüz varsa, o zaman sadece aynı framework’ü güçlendirmeye odaklanabileceğinizi" söyledi.

Discord örneğinde, Purani ve meslektaşlarının bulduğu hata yalnızca bir videoya kötü amaçlı bir bağlantı göndermelerini gerektiriyordu. Microsoft Teams‘de ise buldukları açık, kurbanı bir toplantıya davet ederek

Purani‘ye göre araştırmanın ana çıkarımlarından biri, Electron‘un tam da kullanıcıların Discord ya da Microsoft Teams‘de paylaşılan bağlantılara tıklama olasılığının yüksek olması nedeniyle riskli olduğu.

Purani, “Şüpheli bağlantılara tıklamayın" dedi.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…