خلل امني لدى Discord وMicrosoft Teams وSpotify ​​يسمح للمتسللين بسرقة بياناتك

اكتشف باحثو الأمن السيبراني عيبًا في Electron، وهو الإطار الشائع الذي تستخدمه العديد من التطبيقات، بما في ذلك Discord و Spotify. هذا يسمح لأي متسلل لديه المعرفة بالاستيلاء بسهولة على حساب ضحيته. لحسن الحظ، تم إخطار مطوري Electron وقاموا بإصلاح الثغرة الأمنية.

إن وجود عيب في أحد التطبيقات أمر سيء بحد ذاته، ولكن عندما يكون في إطار عمل تستخدمه العديد من التطبيقات الشائعة جدًا، فإننا نواجه مشكلة أمنية حقيقية. هذا بالضبط ما حدث لـ Electron.

يعد Electron بالفعل الإطار المرجعي لتطبيقات الويب التي ترغب في تقديم إصدار سطح المكتب لمستخدميها. على هذا الأخير، تستند Discord و Spotify والعديد من خدمات المراسلة عبر الإنترنت عالميًا مثل Microsoft Teams، والتي تضم كل منها عشرات الملايين من المستخدمين. ومع ذلك، خلال مؤتمر Black Hat الذي عقد يوم الخميس 11 غشت في لاس فيجاس، كشف مجموعة من الباحثين أنه من السهل جدًا اختراق Electron والتطبيقات التي تستخدمها.

وهكذا أخذ الباحثون مثال Discord، الذي سهل المهمة بشكل خاص على المتسللين. في الواقع ، كان كافيًا أن يرسل الأخير رابطًا ضارًا (روابط منتشرة بالفعل على المنصة) إلى مقطع فيديو إلى ضحيتهم للاستيلاء على حسابهم. أخبار سيئة للغاية للمراسلة التي ابتليت بها بالفعل هجمات قراصنة متعددة.

بالنسبة لـ Microsoft Teams، تكفي دعوة اجتماع بسيطة. سمح الرابط المرسل للمتسللين بالتحكم في جهاز الكمبيوتر المستهدف. يقول Aaditya Purani، الذي يعترف بنفسه بعدم استخدام تطبيقات Electron مطلقًا: “يجب أن يعرف المستخدمون العاديون أن تطبيقات Electron ليست مثل متصفحاتهم اليومية”. أبلغ الباحثون النتائج التي توصلوا إليها إلى مطوري إطار العمل ، الذين قاموا بسرعة بتصحيح الخلل.