Electron 應用容易被修改並植入後門
漏洞不是在應用程序中,而是在應用程序使用的底層框架 Electron 中。
作者/來源: 安華金和
因其跨平台能力,Electron 開發平台是許多應用的關鍵組成部分。基於 JavaScript 和 Node.js 的 Electron 被用於 Skype、WhatsApp 和 Slack 等流行消息應用,甚至被用於微軟的 Visual Studio Code 開發工具。但 Electron 也會帶來安全隱患,容易修改植入後門。
安全研究員 Pavel Tsakalidis 演示了一個 Python 開發的工具 BEEMKA,允許解壓 Electron ASAR 存檔文件,並將新代碼注入到 JavaScript 庫和內置 Chrome 瀏覽器擴展。
漏洞不是在應用程序中,而是在應用程序使用的底層框架 Electron 中。Tsakalidis 稱他聯絡了 Electron 但沒有得到回應。
來源:solidot.org
更多資訊
網傳 Steam 有安全漏洞 玩家電腦可能會被當成礦機根據 reddit 網友的爆料,安全研究員 Vasily Kravets 近日發現了 Steam 的重大安全漏洞。據悉,一些不法分子甚至可以利用該漏洞將玩家的 PC 變成礦機。消息一出,立即引發了很多網友的關注。
來源:3DMGame
詳情鏈接: https://www.dbsec.cn/blog/article/4882.html
你與 Siri 的對話可能從來都不是秘密在大眾印象中,蘋果在保護用戶隱私方面享有良好聲譽,但有時它對用戶數據的實際控制是薄弱的、不透明的或不存在的。具有諷刺意味的是,在用戶數據方面,蘋果有一套更好的默認技術和策略。但 Siri 的錄音被保存在蘋果伺服器上是一個顯著的問題,隨著蘋果越來越多的業務轉向服務,它需要更好地處理這個問題。
來源:威鋒網
詳情鏈接: https://www.dbsec.cn/blog/article/4883.html
蘋果將向漏洞研究者提供百萬美元獎金:創企業界紀錄北京時間8月9日早間消息,據路透社報道,蘋果將向網路安全研究人員提供高達100萬美元的資金,以鼓勵他們尋找iPhone手機的缺陷,這也成為一家企業為防範黑客而提供的最高獎勵。
來源:新浪科技
詳情鏈接: https://www.dbsec.cn/blog/article/4884.html
App 收集個人信息將有「國標」:用戶不同意就不得對外共享App 提供服務需要調取用戶哪些信息?現在有規範可依了。8 月 8 日,全國信息安全標準化技術委員會發布關於開展國家標準《信息安全技術移動互聯網應用(App)收集個人信息基本規範(草案)》徵求意見工作的通知。
來源:澎湃新聞
詳情鏈接: https://www.dbsec.cn/blog/article/4885.html
(信息來源於網路,安華金和搜集整理)
點擊「了解更多」可訪問文內鏈接
TAG:Linux技術 |