Prepárense para actualizaciones masivas de cientos de paquetes Flatpak, AppImage y Snap durante los siguiente días para aplicaciones basadas sobre Electron.

Un grupo de investigadores de seguridad encontró una serie de vulnerabilidades en el software subyacente a aplicaciones populares como Discord, Microsoft Teams, Spotify y muchas otras, que utilizan decenas de millones de personas en todo el mundo. En la conferencia de seguridad cibernética Black Hat en Las Vegas el jueves, los investigadores presentaron sus hallazgos, detallando cómo podrían haber pirateado a las personas que usan Discord, Microsoft Teams y la aplicación de chat Element al explotar el software subyacente a todos ellos: Electron, que es un marco construido sobre Chromium de código abierto y el entorno JavaScript multiplataforma Node JS. En todos estos casos, los investigadores enviaron vulnerabilidades a Electron para que las reparara, lo que les valió más de 10 mil dólares en recompensas. Los errores se solucionaron antes de que los investigadores publicaran su investigación.

Aaditya Purani, uno de los investigadores que encontró estas vulnerabilidades, dijo que «los usuarios habituales deben saber que las aplicaciones de Electron no son las mismas que sus navegadores cotidianos», lo que significa que son potencialmente más vulnerables. En el caso de Discord, el error que encontraron Purani y sus colegas solo requería que enviaran un enlace malicioso a un video. Con Microsoft Teams, el error que encontraron podría explotarse invitando a una víctima a una reunión. En ambos casos, si los objetivos hicieran clic en estos enlaces, los piratas informáticos habrían podido tomar el control de sus computadoras, explicó Purani en la charla. Para él, una de las principales conclusiones de su investigación es que Electron es riesgoso precisamente porque es muy probable que los usuarios hagan clic en enlaces compartidos en Discord o Microsoft Teams.

Fuente: Vice vía Slashdot.