miércoles, 24 de enero de 2018

Todas las aplicaciones basadas en Electron (Skype, Signal, etc) vulnerables a ataques RCE


Cada vez es más necesario crear todo tipo de aplicaciones multi-plataforma que nos permitan acceder a ciertos servicios desde cualquier sistema operativo, ya sea Windows, macOS o Linux, e incluso dispositivos móviles. Para crear este tipo de aplicaciones se suele recurrir a un tipo de framework que nos permita hacer uso de una serie de recursos frontend y backend de manera que podamos crear aplicaciones que funcionen en múltiples sistemas de manera idéntica sin tener que invertir tiempo ni dinero en desarrollarlas por separado. Uno de estos frameworks es Electron.

Electron es un framework desarrollado por GitHub que permite a los desarrolladores crear sus aplicaciones multiplataforma creando simples aplicaciones web utilizando JavaScript, HTML y node.js, entre otros elementos web, y Chromium como backend y frontend. Este framework se utiliza en una gran cantidad de aplicaciones, como Atom, Visual Studio Code, y muchas aplicaciones de mensajería a través de Internet, como Discord, Skype y Signal.

Aunque Electron es un proyecto de código abierto, este no está libre de fallos y vulnerabilidades, fallos que, en ocasiones como esta, ponen en peligro la seguridad de los usuarios. Así, hace algunas horas, se daba a conocer un nuevo fallo de seguridad en Electron que afecta a prácticamente todas las aplicaciones escritas utilizando este framework.

Un fallo RCE pone en peligro a los usuarios de Skype y otras muchas aplicaciones basadas en Electron


Tal como podemos leer en el blog de Electron, este fallo de seguridad, registrado como CVE-2018-1000006, se encuentra en el protocolo utilizado por las programas de Windows para asociar aplicaciones a servicios. Este fallo puede permitir la ejecución de código en la memoria del sistema que ejecuta una aplicación basada en Electron, poniendo en peligro a los usuarios.

Los expertos de seguridad de Electron aseguran que este fallo de seguridad solo afecta a los programas de Windows, por lo que si utilizamos este tipo de aplicaciones en otros sistemas, como Linux o macOS, no tenemos de qué preocuparnos.

Cómo protegernos de esta vulnerabilidad en las apps Electron


Los desarrolladores de Electron ya han publicado nuevas versiones del framework para solucionar este fallo de seguridad: 1.8.2-beta.4, 1.7.11, y 1.6.16. El resto del trabajo depende de los desarrolladores, quienes deben actualizar cuanto antes sus aplicaciones a estas nuevas versiones del framework para solucionar la vulnerabilidad. En caso de que algún desarrollador no pueda actualizar la versión base de este framework, también se puede mitigar el problema añadiendo el parámetro “–” tras llamar a la función “app.setAsDefaultProtocolClient”.

Algunas aplicaciones, como Skype o Slack para Windows ya se han actualizado para corregir este fallo de seguridad, pero aún hay un gran número de aplicaciones pendientes de actualizarse, aplicaciones que, si las utilizamos, están poniendo en peligro nuestra seguridad si hacen uso de estas llamadas a aplicaciones y servicios en Windows.