Безопасность десктопных приложений на фреймворке Electron

 

Безопасность десктопных приложений на фреймворке Electron

14.09.2023

касперский.png

Уважаемые пользователи!

Ранее мы описывали пять причин избегать десктопных версий мессенджеров. Одна из них в том, что для создания этих приложений часто используют фреймворк Electron. За счет этого вместе с приложением в системе появляется дополнительный браузер, обновления которого довольно сложно контролировать.
Проблема касается не только мессенджеров, но и сотен других приложений. Велик шанс, что из-за Electron-приложений у вас на компьютере прямо сейчас установлено гораздо больше браузеров, чем вы думаете. 

Что такое фреймворк Electron и зачем его используют разработчики приложений

Electron — это фреймворк для разработки кросс-платформенных настольных приложений с использованием веб-технологий. Изначально он был создан компанией GitHub для ее редактора исходного кода Atom (поэтому оригинальным названием фреймворка было Atom Shell). Позже фреймворк был переименован в Electron и в итоге стал популярнейшим инструментом для создания настольных приложений, которые могут работать в различных десктопных операционных системах.

В основе Electron лежит браузерный движок Chromium, обеспечивающий отображение веб-контента внутри десктопного приложения. Получается, что программа, построенная на фреймворке Electron, — это как бы один-единственный сайт, открытый в браузере Chromium.
Фреймворк Electron популярен среди разработчиков в первую очередь потому, что он позволяет существенно ускорить и упростить создание приложений сразу для всех десктопных ОС.

При этом пользователь обычно вообще не подозревает, как все устроено. С его точки зрения, Electron-приложение — это обычная программа, которая устанавливается на компьютер, привычным образом запускается, иногда обновляется до новой версии, имеет доступ к файлам и так далее.

В чем проблема приложений на Electron

Самая очевидная для пользователей — это их изрядная неповоротливость. Программы, основанные на Electron, получаются очень увесистыми и ресурсоемкими.

Следующая проблема: веб-браузеры являются излюбленной целью киберпреступников. Внутри каждого приложения, разработанного на Electron, содержится отдельный веб-браузер Chromium. Это значит — в вашей системе установлен десяток дополнительных браузеров, являющихся потенциальными мишенями для преступников.

В таком популярном браузере, как Chrome/Chromium, серьезные уязвимости находят едва ли не каждую неделю: например, с начала этого года и до момента написания данного текста в Chromium нашли более 70 уязвимостей с высоким уровнем опасности и еще 3 — с критическим. Что еще хуже, для уязвимостей в популярном браузере мира очень быстро появляются эксплойты. То есть, существенная часть дырок в Chrome/Chromium — это не абстрактные баги, которые неплохо бы закрыть, а уязвимости, используемые для атак, что называется, в дикой природе.

Для отдельного браузера Chrome это такая уж серьезная проблема. Google очень быстро выпускает обновления, настойчиво убеждает пользователей их установить и перезапустить браузер.
С приложениями, построенными на Electron, все иначе. Встроенный браузер Chrome обновляется, если конкретно его разработчик выпустил новую версию и как-то донес до пользователей необходимость ее установить.

Получается, что с Electron-приложениями в системе не просто установлено несколько браузеров, но вы еще и не особенно контролируете, насколько свежи версии этих браузеров, и ничего не знаете о количестве незапатченных уязвимостей в них.

Какие настольные приложения построены на фреймворке Electron


Десктопные приложения, основанные на фреймворке Electron, невероятно распространены. Можем поспорить, что вы пользуетесь далеко не одной такой программой. Можете проверить сами в этом списке:

  • 1Password
  • Agora Flat
  • Asana
  • Discord
  • Figma
  • GitHub Desktop
  • Hyper
  • Loom
  • Microsoft Teams             
  • Notion
  • Obsidian
 
  • Polyplane
  • Postman
  • Signal
  • Skype
  • Slack
  • Splice
  • Tidal
  • Trello
  • Twitch
  • Visual Studio Code
  • WhatsApp
  • WordPress Desktop

Разумеется, список выше — это далеко не все приложения, построенные на фреймворке Electron, в него входят только наиболее популярные из них. А всего таких приложений несколько сотен — с более или менее полным списком можно ознакомиться на специальной странице на официальном сайте фреймворка (но, кажется, даже там приведены не все).

Меры безопасности

Что можно сделать, чтобы не подвергаться опасности из-за неконтролируемых браузеров, которые разработчики теперь совершенно непредсказуемо суют в настольные приложения? У нас есть три совета:

  • Минимизируйте количество приложений на основе Electron. Это не так уж сложно: сам факт использования фреймворка говорит о том, что у сервиса есть крайне продвинутая веб-версия, которая скорее всего не уступает по функциям и удобству десктопному приложению.
  • Постарайтесь инвентаризировать все Electron-приложения, которыми пользуются сотрудники вашей компании, и приоритизируйте их обновление. Чаще всего это приложения для коллаборации тех или иных оттенков — от Microsoft Teams, Slack и Asana до GitHub и Figma.
  • Используйте надежное защитное решение. Оно поможет отразить атаки в те промежутки времени, когда об уязвимостях уже всем известно, эксплойты к ним уже есть, а вот обновления еще не появились. 


Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО». 

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!


Количество показов: 1345

Для удобства сохраните эту статью в закладки:

Список новостей




© 2002 Битрикс, 2007 1С-Битрикс