Electron API误用：攻击者的首选 - Doyensec博客

在过去几年中，随着技术的不断进步，开发人员面临的安全挑战也在增加。本文将探讨Electron框架中一些常见的API误用案例，这些误用可能会被攻击者利用，从而对应用程序的安全性造成威胁。

Electron API的快速迭代与潜在风险

Electron开发团队在其v11稳定版本中宣布，将每季度发布一次新的主要版本。这种快速迭代的发布策略虽然带来了许多新功能，但也引入了更多的API，同时增加了潜在的安全风险。新API可能会无意间暴露操作系统的强大接口，尤其是在开发者未能正确配置的情况下。

例如，shell.openExternal()是一个允许通过桌面本地实用程序打开外部协议URI的API。虽然功能强大，但如果用于不受信任的内容，攻击者可以利用它执行任意命令。同样，shell.openPath(path)也可能被滥用，用于打开特定文件。

从攻击者的角度来看，Electron的某些API是实现远程代码执行、访问主机文件系统或泄露用户敏感数据的理想工具。恶意JavaScript代码可以利用这些API破坏应用程序的安全性。

Electron的远程模块允许渲染器进程访问主进程中的API，例如对话框和菜单等GUI模块。然而，这种便利性也带来了安全隐患。由于长期存在性能和安全问题，Electron团队在v12版本中弃用了远程模块，并在v14版本中完全移除。

尽管如此，仍有一些应用程序将Remote.app暴露给渲染器进程。app对象是Electron应用程序的核心，其暴露的功能可能被攻击者滥用。例如，app.restore([options])可以重新启动应用程序，并指定自定义的执行路径和命令行参数，从而实现任意命令执行。

需要注意的是，重新启动方法本身不会退出应用程序，开发者还需调用app.quit()或app.exit()以完成重新启动操作。

systemPreferences模块用于获取系统首选项并发出系统事件。然而，这些功能可能被滥用，导致用户行为和操作系统活动的敏感信息泄露。

通过subscribeNotification方法，攻击者可以订阅macOS的原生通知，甚至在某些情况下嗅探分布式通知。这可能暴露以下敏感事件：

getUserDefault和setUserDefault方法可以访问macOS的NSUserDefaults键值存储。攻击者可以利用这些方法获取用户的位置信息或文件系统资源，甚至修改应用程序的默认设置。

shell.showItemInFolder是一个看似无害的API，用于在文件管理器中显示指定文件。然而，它隐藏了一些潜在的安全风险。例如，攻击者可以利用目录检查与文件启动之间的时间差（TOCTU漏洞）替换文件路径，从而执行任意文件。

在Windows系统上，Electron使用SHOpenFolderAndSelectItems API完成此功能，但在某些情况下会回退到ShellExecute，这可能导致意外的安全问题。

本文列举的Electron API仅是框架中潜在危险原语的一部分。随着Electron框架的不断发展，其与操作系统的集成程度也在不断加深，这可能会带来更多的安全挑战。

为了保护基于Electron的应用程序，开发者需要深入了解框架的特性和局限性，并采用深度防御机制来缓解潜在的安全风险。只有这样，才能在享受新技术带来便利的同时，最大限度地降低安全隐患。

原文链接: https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html