O lado sombrio dos aplicativos JavaScript

Os aplicativos criados hoje para a interoperabilidade em diferentes sistemas operacionais, incluindo Skype, Spotify, Signal, Slack, navegadores como Brave, editores de código como o Visual Studio Code e muitos outros programas, são usados ​​diariamente por cada um de nós e são baseados em hoje em um dos idiomas mais usados, como JavaScript. Além disso, seus diferentes componentes são adicionados a essa pilha , para seu desenvolvimento e execução no front – end e no back – end .

Como dissemos no ano passado , essa linguagem popular tem inúmeras oportunidades para implantar pacotes e aplicativos para desenvolvimento de software para a Web, mas não apenas isso, mas também acrescenta que eles se tornaram muito populares para o desenvolvimento de programas. área de trabalho, independentemente do sistema operacional . Existem várias estruturas populares para o desenvolvimento desse tipo de aplicação, entre as quais o ElectronJS se destaca (como número um e mais usado), mas temos outras como NWJS, AppJS, Meteor e muito mais.

Ao criar esses aplicativos, como qualquer outra tecnologia, os atacantes buscam maneiras de tirar proveito dessas «novas» implementações, que em muitos casos estendem falhas de design nos próprios idiomas ou, quando integradas a outros componentes, estendem os vetores de ataque, que atualmente pode representar um risco para os dados do usuário.

Através da modificação desse tipo de aplicativo e sem emitir nenhum alerta ao usuário sobre o referido comportamento, os pesquisadores de segurança descobriram uma maneira de explorar pontos fracos que permitem a introdução de um código malicioso arbitrário de backdoor que executa ações maliciosas no computador da vítima ( por exemplo, as teclas de captura de teclado keylogger ou permitir que o usuário da câmera, etc.). Da mesma maneira, um consultor de segurança pode usar esses mesmos vetores de ataque em uma auditoria para revelar dados ou fazer movimentos laterais em uma rede . De fato, hoje existe ferramentas  que permitem que você identifique rapidamente essas vulnerabilidades.

Como proteger seus aplicativos

Aqui estão algumas das referências que podem ajudar a proteger esses tipos de aplicativos:

• Mantenha seu aplicativo sincronizado com a versão mais recente da estrutura e componentes usados ​​em seu desenvolvimento.
• Avalie as dependências usadas pelo seu aplicativo.
• Analisar e entender completamente a estrutura usada, isso inclui seus pontos fracos.
• Implemente práticas de desenvolvimento seguras em seu projeto.

Este é apenas um breve lembrete para evitar negligenciar as coisas básicas durante o desenvolvimento e a implantação de nossos aplicativos. Em resumo, os vetores para novas tecnologias ou idiomas migram, atualizam, melhoram e diversificam, mas os riscos estão sempre presentes ao longo do ciclo de vida do software , portanto, você deve sempre se perguntar quantos aplicativos que eu uso poderiam Eles estão colocando meus dados privados em risco ou arriscando a reputação dos meus projetos de desenvolvimento?