因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门。
安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA,允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。
漏洞不是在应用程序中,而是在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应。
来源:solidot.org
更多资讯
网传 Steam 有安全漏洞 玩家电脑可能会被当成矿机
根据 reddit 网友的爆料,安全研究员 Vasily Kravets 近日发现了 Steam 的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的 PC 变成矿机。消息一出,立即引发了很多网友的关注。
来源:3DMGame
详情链接: https://www.dbsec.cn/blog/article/4882.html
你与 Siri 的对话可能从来都不是秘密
在大众印象中,苹果在保护用户隐私方面享有良好声誉,但有时它对用户数据的实际控制是薄弱的、不透明的或不存在的。具有讽刺意味的是,在用户数据方面,苹果有一套更好的默认技术和策略。但 Siri 的录音被保存在苹果服务器上是一个显著的问题,随着苹果越来越多的业务转向服务,它需要更好地处理这个问题。
来源:威锋网
详情链接:https://www.dbsec.cn/blog/article/4883.html
苹果将向漏洞研究者提供百万美元奖金:创企业界纪录
北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。
来源:新浪科技
详情链接:https://www.dbsec.cn/blog/article/4884.html
App 收集个人信息将有“国标”:用户不同意就不得对外共享
App 提供服务需要调取用户哪些信息?现在有规范可依了。8 月 8 日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。
来源:澎湃新闻
详情链接:https://www.dbsec.cn/blog/article/4885.html
(信息来源于网络,安华金和搜集整理)