Encuentran fallos de seguridad importantes en aplicaciones basadas en Electron

Escrito por Adrián Crespo

Las aplicaciones desarrolladas utilizando este framework siempre han sido muy criticadas por programadores de software. El acabado y funcionalidad de muchas tampoco ha sido el esperado. Hay que reconocer que existen algunas que son buenas y útiles. Sin embargo, expertos en seguridad han descubierto un fallo de seguridad grave en el framework Electron que afecta a todas las aplicaciones desarrolladas.

Media década lleva con nosotros este software. Son cientos las aplicaciones desarrolladas. La temática es muy variada. Desde software llamado a mejorar la producción, pasando por videojuegos o, incluso, softwares de mensajería o reproductores de audio y vídeo. Para ser precisos, Skype o incluso Signal son dos de los softwares más populares que también están afectados por este fallo de seguridad que a continuación procedemos a detallar.

Pero no son las únicas. El listado se puede ampliar utilizando Twitch, Discord, Basecamp, Slack o Ghost. La inmensa mayoría son clientes multiplataforma y compatibles con sistemas Linux.

El auge de las aplicaciones basadas en este framework tiene mucho sentido. Con la aparición de diferentes sistemas operativos, los desarrolladores buscaban una forma rápida de portar aplicaciones sin dedicar un tiempo excesivo. Por este motivo, Electron ha tenido cabida en el mercado de desarrollo de soluciones software. Es decir, portar aplicaciones que poseen código web y convertirlas en soluciones de escritorio de una forma rápida.

Sin lugar a dudas, los más críticos con esta solución ahora tienen un motivo más para justificar su postura.

Detalles del fallo de seguridad de Electron

El problema que poseen estas aplicaciones tiene nombre propio: Node.js. El problema es que no existe nada que proteja la utilización de esta API. Es capaz de interactuar de forma directa con el sistema operativo que sustenta la ejecución de la aplicación. Aunque se ha añadido un flag a las aplicaciones para desactivar que se pueda hacer uso de la aplicación de estas librerías, la solución no ha convencido.

Expertos en seguridad han detectado que existe cierta incoherencia a la hora de declarar variables en el fichero de configuración. Es decir, existe una dependencia que anula la que anteriormente hemos mencionado. Por este motivo, aunque indiquemos que nodeIntegration posea el valor false, la lógica permite en la actualidad modificar esta asignación, incluso si webviewTag se encuentra también declarada con valor false.

Esto se convierte en un ataque XSS (del inglés Cross-site scripting), permitiendo a los atacantes utilizar la aplicación para ejecutar comandos en el sistema operativo.

Versiones afectadas

También se ha publicado un informe sobre las versiones afectadas de Electron. De este modo, nos topamos con que la versión 1.7.13 y anteriores, 1.8.4 y anteriores, y 2.0. (beta) y anteriores están afectadas por este problema que hemos descrito.

Este fallo fue reportado por los expertos al equipo de desarrollo del framework, publicando una actualización a mediados del pasado mes de marzo. Sin embargo, y tal y como suele suceder, la capacidad de actualidad es mínima, y son muchas las aplicaciones que aún son vulnerables, permitiendo la ejecución de comandos de forma remota en el que equipo que ejecuta la app afectada por el fallo de seguridad.

Fuente > Bleeping Computer