Electron ベース・アプリ 18種類に深刻な脆弱性: Teams/WhatsApp/Slack などに影響

Security Analysis Leads to Discovery of Vulnerabilities in 18 Electron Applications

2022/08/17 SecurityWeek — 各社の研究者チームが、Electron ベースのデスクトップ・アプリケーションを解析した結果、広く利用されている複数のソフトウェアに脆弱性が存在していることが判明した。Electron は、クロスプラットフォームのデスクトップ・アプリケーションを開発するための、無償で提供されるオープンソース・フレームワークである。たとえば、Microsoft Teams/WhatsApp/Slack といった、非常に人気の高いアプリケーションの構築にも利用されている。

Electron ベースのアプリケーションを対象とした研究プロジェクトは、ElectroVolt と名付けられ、その成果は先週の Black Hat カンファレンスで発表された。


Cure53 のセキュリティ・コンサルタントであり、このプロジェクトに参加した研究者の一人である Mohan Sri Rama Krishna Pedhapati は、18種類のアプリケーションで脆弱性を確認したと、SecurityWeek に述べている。影響を受けるベンダーには通知され、いずれもパッチをリリースしている。

今回、セキュリティホールが発見されたのは、Microsoft Teams/Discord/Visual Studio Code/Basecamp/Mattermost/Element/Notion/JupyterLab/Rocket.Chat などである。

想定される悪用のケースは、複数の欠陥を連鎖させるものが大半であり、標的となるシステム上でリモートコードの実行を引き起こすにつながる可能性がある。Microsoft Teams では、ホワイトハット・ハッカーが、ローカルファイル読み込みの問題を発見している。

多くの場合、リンクのクリックや、アプリケーションの特定セクションへのアクセスといった、悪用を開始するために必要なユーザー操作は最小限である。Electron ベース・アプリのユーザーは、何らかのクリックや、メッセージ・オープンなどの操作を多用するため、攻撃の成功率が高くなると、研究者たちは述べている。

欠陥の大半は Critical と評価されている。また、研究者はたちは、各ベンダーへの情報開示により、合計で $60,000 の報酬を得ている。

研究者たちは、Black Hat で調査の結果を詳述したほか、いくつかの Electrovolt 脆弱性を説明する、個別のブログ記事を公開している。また、Proof-of-Concept (PoC) コードや、いくつかの脆弱性の動作を示すビデオも公開されている。

文中で解説されているように、Electron とは、クロスプラットフォームのデスクトップ・アプリを開発するための、オープンソース・フレームワークだそうです。そして、Teams/WhatsApp/Slack となどで利用されているとのことです。先ほどの、Chromium の話に似ていますね。ソフトウェア・サプライチェーンの広がりは、開発とビジネスだけに寄与するのではなく、脅威アクターにもチャンスを与えるものだと、受け止めるべきです。

%d bloggers like this: