Diversas vulnerabilidades são encontradas no software subjacente ao Microsoft Teams e outros aplicativos

diversas-vulnerabilidades-sao-encontradas-no-software-subjacente-ao-microsoft-teams-e-outros-aplicativos

Uma série de vulnerabilidades no software subjacente a aplicativos populares como Discord, Microsoft Teams, Spotify e muitos outros aplicativos foram descobertas por pesquisadores de segurança.

De acordo com os relatórios, o grupo de pesquisadores apresentou suas descobertas na conferência de segurança cibernética Black Hat em Las Vegas, explicando como eles poderiam ter hackeado dezenas de milhões de usuários que usam Discord, Microsoft Teams e o aplicativo de bate-papo Element, explorando o software subjacente a todos eles, o Elétron.

Electron e a vulnerabilidade

Electron é um framework de software livre e de código aberto desenvolvido e mantido pelo GitHub. A estrutura foi projetada para criar aplicativos de desktop usando tecnologias da Web que são renderizadas usando uma versão do mecanismo de navegador Chromium e um back-end usando o ambiente de tempo de execução Node.js.

Os pesquisadores relataram as vulnerabilidades ao Electron para encontrar uma correção que lhes rendeu mais de US$ 10.000 (mais de R$ 50 mil) em recompensas. Os relatórios afirmam que as vulnerabilidades foram corrigidos antes que os pesquisadores publicassem suas pesquisas.

diversas-vulnerabilidades-sao-encontradas-no-software-subjacente-ao-microsoft-teams-e-outros-aplicativos

A descoberta das vulnerabilidades

Um dos pesquisadores chamado Aaditya Purani, que descobriu essas vulnerabilidades, diz que “usuários regulares devem saber que os aplicativos Electron não são os mesmos que seus navegadores do dia-a-dia”, o que significa que são potencialmente mais vulneráveis.

Em aplicativos como o Discord, o bug que Purani e seus colegas encontraram apenas exigia que eles enviassem um link malicioso para um vídeo. No Microsoft Teams, o bug encontrado pode ser explorado convidando uma vítima para uma reunião. Em ambos os cenários, a exploração funciona se os alvos clicarem nesses links, o que levará ao controle total dos sistemas de destino.

Purani confessa que não roda aplicativos Electron, optando por usar aplicativos como Discord ou Spotify dentro de seu navegador, que é mais resistente a hackers.

Além disso, ele também diz que é bom ter o Electron por trás de tantos aplicativos porque “se você tem apenas um framework que está executando todos os aplicativos, então você pode se concentrar em fortalecer esse mesmo framework”.

Portanto, o Electron é perigoso precisamente porque é muito provável que os usuários cliquem em links compartilhados no Discord ou no Microsoft Teams. Purani acrescentou dizendo “Não clique em links obscuros”.

A descoberta dessas vulnerabilidades pode ser um alerta para que você tenha ainda mais cuidado ao utilizar aplicativos baseados em Electron. Eles são muito mais susceptíveis à vulnerabilidades, assim, você deve tomar cuidado.