Primer lanzamiento｜La seguridad de la billetera encriptada no debe subestimarse, tenga cuidado con los piratas informáticos que controlan el equipo de forma remota

El equipo de seguridad de CertiK descubrió una vulnerabilidad de ejecución remota de código en la billetera de escritorio de Symbol y envió la vulnerabilidad al programa de recompensas por errores de Symbol. Symbol le dio gran importancia al informe presentado por CertiK, inmediatamente tomó medidas de seguridad y actualizó el código a tiempo. Actualmente, este problema se ha solucionado en la versión v0.9.11. El informe de HackerOne aún no es público, pero con el permiso de Symbol, este artículo se publicará aquí para compartir el incidente. Aquí, CertiK quisiera agradecer a Symbol por el premio de recompensa y el permiso para compartir públicamente el descubrimiento de la vulnerabilidad. Symbol wallet es una aplicación de escritorio basada en Electron. La vulnerabilidad descubierta esta vez está relacionada con la configuración de Electron. ¿Electrón te suena familiar? Pero no es el electrón que aprendiste en la clase de química física. Antes de comenzar el análisis de vulnerabilidades, echemos un vistazo a lo que es Electron en este artículo y lo que vale la pena señalar en términos de seguridad. Electron es un marco de software de código abierto desarrollado y mantenido por GitHub que permite a los desarrolladores crear aplicaciones de escritorio multiplataforma utilizando tecnologías web como HTML, CSS y Javascript. Electron logra esto al combinar el motor Chromium y Node.js. Algunas aplicaciones conocidas de Electron incluyen el editor Atom, VisualStudio Code y Slack, entre otras. Ventajas de usar Electron: los desarrolladores web pueden usar las principales bibliotecas de marcos de Javascript (incluidas Angular, React y Vue) para crear aplicaciones de escritorio multiplataforma que pueden ejecutarse en diferentes sistemas operativos. Este proceso elimina la necesidad de dedicar tiempo a aprender un nuevo lenguaje de programación. La depuración de aplicaciones basadas en Electron es más fácil que la depuración de aplicaciones de escritorio tradicionales. La extensión DevTools en Chromium permite a los desarrolladores depurar sus aplicaciones basadas en Electron de la misma manera que las aplicaciones web. Wenchang, la primera colección digital de la serie Wentian de Hainan: Golden Finance News, la Administración de la Ciudad Aeroespacial Internacional de Wenchang presentó el 20 de julio con motivo del lanzamiento de la cápsula experimental "Wentian", Silk Number Zero, Wenchang Tourism, Culture, Radio, Television and Sports Bureau, Wenchang International Aerospace City Administration y Hainan Tongguling Scenic Area lanzaron conjuntamente cuatro ediciones conmemorativas limitadas de las colecciones digitales "Wentian Series", a saber, "My Wentian Number", "Wantian Dream Realization", "Tonggu Wentian" y "Dream Chasing ". "Tian", para conmemorar el impactante momento del lanzamiento espacial de "Wen Tian". (China News Network) [2022/7/21 2:26:55] La seguridad de Electron y los peligros de Node.js Una aplicación basada en Electron es esencialmente una aplicación web, por lo que contiene vulnerabilidades web comunes, como Cross- Site Scripting (XSS), inyección de SQL, vulnerabilidades de autenticación y autorización. Electron proporciona muchas API para ayudar en el desarrollo de aplicaciones de escritorio, además, también puede usar módulos Node.js. Node.js permite que las aplicaciones basadas en Electron admitan más funciones que una aplicación web que se ejecuta en un navegador web. Sin embargo, habilitar Node.js conlleva ciertos riesgos de seguridad. Si un atacante puede encontrar una manera de inyectar JavaScript en una aplicación, puede ejecutar comandos del sistema en la computadora del objetivo. Para verificar si una aplicación Electron se está ejecutando con Node.js habilitado, los usuarios pueden enviar la función de importación del módulo "requerir" en la consola de desarrollo. En macOS, la consola se puede abrir presionando "opción + comando + i" simultáneamente. Si Node.js no se inicia, la consola devolverá un mensaje de error "requerir no está definido": Si Node.js está habilitado, la consola devolverá información sobre "requerir": Envíe el siguiente comando en la consola de desarrollo, puede Abra la calculadora en macOS: require('child_process').exec('/System/Applications/Calculator.app/Contents/MacOS/Calculator') nombre conjunto de Hisense Vidda y National Star Aerospace La primera colección digital de satélites láser se lanzó en China: Jinse Finance informó que la plataforma de comercio electrónico líder en China para colecciones digitales, Digital Collection China, lanzó la primera colección digital de satélites láser con la marca compartida de Hisense Vidda y Nationstar Aerospace. Esta colección digital se presenta en forma de video. El satélite láser gira alrededor del planeta del fútbol, ​​y el prototipo del satélite proviene del satélite AI lanzado por National Star Aerospace. 2022 es también el "Año de la Copa del Mundo". Hisense, como patrocinador de la "Copa del Mundo", y Nationstar Aerospace, como proveedor oficial de la "Universiada", han creado conjuntamente los satélites láser Vidda y Ada, que dotan a ta con la capacidad de proyección láser en el universo virtual Los turistas interestelares que pasan por el espacio transmiten partidos de fútbol en vivo. (Xianning News Network) [2022/5/2 2:44:16] Para mitigar el riesgo de ejecución remota de código causado por la inyección de JavaScript, a partir de la versión 5.0.0, Electron deshabilita el acceso del programa a los módulos Node.js de forma predeterminada . . Los desarrolladores pueden habilitar el uso de módulos de Node.js configurando "nodeIntegration" en verdadero en el archivo de configuración, lo que no se recomienda desde una perspectiva de seguridad. Vale la pena señalar que en 2018, se descubrió que Electron tenía una vulnerabilidad grave que podría ser aprovechada por un atacante para acceder a los módulos de Node.js, incluso si estaban deshabilitados en la configuración. La Referencia 1 también explica esto en detalle, así que asegúrese de usar la última versión de Electron cuando desarrolle. Con una comprensión de las características asociadas con las aplicaciones basadas en Electron, ahora es posible sumergirse en las vulnerabilidades encontradas en la billetera de escritorio de Symbol. La billetera de escritorio de Symbol es de código abierto y el código fuente de la aplicación se puede encontrar en su Github (Referencia 2). build.js (referencia 3) es el archivo de configuración de compilación de Electron para su aplicación. El siguiente fragmento de código en Build.js verifica si el programa se ejecuta en "darwin" (macOS). De lo contrario, app.on utilizará la función "createWindow" para crear la ventana del navegador. ....code...  if (process.platform === 'darwin') { KuCoin lanzará DAO a las 17:00 el 9 de febrero: según KuCoin intercambio de noticias, KuCoin lanzará el proyecto Dao Maker (DAO) a las 17:00 el 9 de febrero y admitirá los servicios comerciales DAO/USDT. La misión de DAO Maker es reinventar la participación de capital de riesgo para las masas mientras se crean herramientas que aceleran el éxito de las empresas emergentes. KuCoin es un intercambio de moneda digital que brinda servicios integrales como moneda, moneda fiduciaria, apalancamiento, contrato, grupo de minería y préstamos para 6 millones de usuarios de 207 países. [2021/2/8 19:11:39]   app.on('ready',createMac)   } else {     ; app.on('ready',createWindow)    ....code... En la función "createwindow", la variable "windowOptions" dentro de la función contiene la configuración de la ventana del navegador opciones Tenga en cuenta que las líneas que se muestran en rojo establecen la variable "nodeIntegration" en verdadero, lo que significa que esta aplicación está habilitada para Node.js. ...código... función createWindow(){          const windowOptions = {       ;   minWidth: ancho,         minHeight: altura,         ;   La primera moneda de proyecto HD (HubDAO) de Hobbit Exchange se puso en línea con un aumento máximo del 152,21 %: según la página de mercado de Hobbit HBTC, la primera moneda de proyecto HD (HubDAO) en la plataforma aumentó de inmediato. newsletter, El aumento más alto es 152.21%, y la cotización temporal es 0.6186 USDT. Además, Hobbit HBTC ha lanzado oficialmente las actividades de doble recompensa de "comerciar para compartir 5000 USDT" y "clasificación de compra neta para compartir 10 000 USDT" a las 16:00 el 23 de octubre de 2020 (UTC+8). Consulte el enlace original para conocer los detalles del evento. [2020/10/23] altura: altura, estilo de barra de título:  'hiddenInset',         webPreferences: {      ;      ;   nodeIntegration: true,          },         redimensionable:  ;verdadero,        mainWindow= newBrowserWindow(windowOptions)  BKEX Global lanzará YAM hoy a las 12:00: Según el anuncio de BKEX Global, BKEX Global lanzará YAM a las 12:00 del 12 de agosto de 2020 (UTC+8), Par comercial abierto: YAM/USDT. Yam es un protocolo experimental con una criptomoneda de suministro elástico en su núcleo que expande y contrae su suministro de acuerdo con las condiciones del mercado. [2020/8/12]}   Según el archivo de configuración build.js, se puede saber que si la aplicación se ejecuta en el sistema operativo Windows, Node.js estará habilitado. Para explotar la habilitación de Node.js, un atacante necesitaría inyectar JavaScript arbitrario en la aplicación. Los atacantes generalmente pueden explotar las vulnerabilidades XSS (cross-site scripting) o cargar cualquier sitio web que contenga JavaScript inyectado por el atacante en la ventana Electron actual. La billetera de escritorio Symbol (versión 9.7) brinda la función de navegar por "noticias", siempre que el usuario haga clic en el enlace de las noticias, la aplicación cargará el sitio web externo (se muestra Github en la imagen) desde la ventana de la billetera. Entonces, ¿cómo se explota la vulnerabilidad? Para demostrar el proceso de explotación de esta vulnerabilidad, el técnico alojó el siguiente fragmento de código en su sitio web personal. Es fácil colocar una URL que apunte a su sitio web en Github. Cuando "nodeIntegration" se establece en verdadero y Node.js está habilitado, la ejecución arbitraria de JavaScript se puede escalar a la ejecución remota de código con la ayuda del módulo "child_process". Después de que el usuario visite la página que contiene la carga útil y haga clic en el botón "Cerrar" en la página, aparecerá una calculadora en la computadora del usuario. Mostrar una calculadora en un sistema de destino es una forma de demostrar una vulnerabilidad de ejecución de código exitosa

Tags：

Filecoin