首發｜加密錢包安全不可小覷 謹防黑客遠程控制設備_NBS

CertiK安全團隊在Symbol桌面錢包中發現了一個遠程執行代碼漏洞，并將該漏洞提交到了Symbol漏洞賞金計劃。Symbol對CertiK提交的報告非常重視，即刻采取了安全解決措施，并及時更新了代碼。目前該問題已在v0.9.11版本中得到修復。

HackerOne報告目前尚未公開，但在征得了Symbol的允許后，本文將公開于此分享此次事件。在此，CertiK對Symbol提供的賞金獎勵，以及對公開分享漏洞發現的許可表示感謝。

Symbol wallet是一個基于Electron的桌面應用程序，此次發現的漏洞與Electron配置有關。Electron是不是聽起來很耳熟？但它可不是你在物理化學課上學到的那個電子。在展開漏洞分析之前，不妨先來看看本文中的Electron是什么，在安全層面有什么值得注意的事項。

Electron是由GitHub開發和維護的開源軟件框架，它允許開發人員使用HTML，CSS和Javascript等網絡技術來構建跨平臺的桌面應用程序。

Electron通過將Chromium引擎和Node.js組合到一起來實現這一目標。一些知名的Electron應用程序包括Atom編輯器，VisualStudio Code和Slack等。

使用Electron的優點：

Web開發人員可以使用主要的Javascript框架庫（包括Angular，React和Vue）構建能在不同操作系統上運行的跨平臺桌面應用程序。此過程無需再花費時間學習新的編程語言。

調試基于Electron的應用程序比調試傳統的桌面應用程序容易。Chromium中的DevTools擴展允許開發人員使用和Web應用程序相同的方式調試其基于Electron的應用程序。

中國平安發起保護華南虎公益行動 首發區塊鏈數字藝術藏品:1月25日消息，中國平安聯合深圳市關愛行動公益基金會共同發起保護華南虎的“萌虎平安成長行動”。為鼓勵客戶及公眾參與“萌虎平安成長”公益活動，中國平安運用當下火熱的數字藝術藏品形式，以兩只華南虎幼崽為原型，打造了8幅藝術作品，每幅限量發行2022份，供用戶領取。基于區塊鏈技術的不可復制、不可篡改、不可分割特性，每份藏品都擁有唯一標識（數字藏品ID），標記數字資產獨一無二的所有權，捐贈者獲贈的數字藝術藏品也將被平安數字藏品館永久記錄。（中國新聞周刊）[2022/1/25 9:11:08]

Electron的安全性以及Node.js的危險性

基于Electron的應用程序本質上是一個Web應用程序，因此它包含常見的Web漏洞，例如跨站點腳本（XSS）、Sql注入、身份驗證和授權漏洞。

Electron提供許多輔助桌面應用程序開發的API，此外，它還可以使用Node.js模塊。

Node.js允許基于Electron的應用支持比在Web瀏覽器中運行的Web應用更多的功能。但是，啟用Node.js會帶來一定的安全風險。如果攻擊者可以找到在應用程序中注入JavaScript，就可以在目標的計算機上執行系統命令。

如果想要檢查Electron應用程序是否在啟用了Node.js，用戶可以在開發控制臺中發送模塊導入功能“require”。在macOS中，控制臺可以通過同時按“option + command + i”打開。

如果Node.js未被啟動，控制臺將返回錯誤消息 “require is not defined”：

如果Node.js被啟用，控制臺將返回"require"的相關信息：

Gate.io Startup 首發項目ALPHR最高漲幅達1403.60%:據Gate.io芝麻開門行情顯示，截至今日15:05，Gate.io Startup 首發項目ALPHR24H最高漲幅1403.60%，最高價格60.1438美元，為首發認購價格1.5美元的39倍，當前價格為7.02美元，24H現貨交易量達219.16萬美元。

據悉，Gate.io已于4月27日20:00上線ALPHR交易并開通提現服務。近期行情波動較大，請注意控制風險。[2021/4/28 21:07:17]

在開發控制臺中發送以下命令，就能在macOS中彈出計算器：

require('child_process').exec('/System/Applications/Calculator.app/Contents/MacOS/Calculator')

為了減輕因為注入JavaScript而引起的遠程代碼執行的風險，從版本5.0.0開始，Electron默認禁用了程序對Node.js模塊的訪問。開發人員可以通過在配置文件中將“nodeIntegration”設置為true來啟用對Node.js模塊的使用，從安全角度來說并不推薦。

值得注意的是在2018年，Electron被發現有一個嚴重漏洞可被攻擊者利用來訪問Node.js模塊，即使在配置中已經被禁止。參考文獻1也對此進行了詳細說明，因此在開發時請務必使用最新版本的Electron。

在了解了基于Electron的應用程序相關特征之后，現在可以深入探討在Symbol桌面錢包中發現的漏洞。

Symbol桌面錢包是開源的，可以在其Github（參考文獻2）中找到該應用的源代碼。build.js（參考文獻3）是其應用程序的Electron構建配置文件。下面這段Build.js中的代碼檢查程序是否在“darwin”（macOS）上運行。如果不是，app.on將使用“createWindow”函數創建瀏覽器窗口。

歐易OKEx首發CONV漲幅達3187%，現報0.164美元:據歐易OKEx行情數據顯示，CONV自昨晚開放交易以來持續拉升突破0.16美元關口，占據OKEx漲幅榜榜首，上線24小時內，漲幅高達3187%。行情波動較大，請做好風險控制。[2021/3/26 19:19:39]

....code...  

if (process.platform === 'darwin') { 

    app.on('ready',createMac) 

  } else { 

    app.on('ready',createWindow) 

 

....code... 

在“createwindow”函數中，函數內部的“ windowOptions”變量包含瀏覽器窗口配置選項。注意，紅色部分顯示的行將“nodeIntegration”變量設置為true，這表示此應用程序啟用了Node.js。

...code... 

function createWindow(){      

    const windowOptions = {   

      minWidth: width,   

      minHeight: height,   

聚幣Jubi將于2021年1月6日首發上線ZKS:據官方消息，聚幣Jubi將于2021年1月6日15:00（UTC+8）首發上線ZKS（ZKSwap）。ZKS的充值現已開放，提現將于1月7日15:00（UTC+8）開啟。充值ZKS可獲“充幣挖礦”雙倍算力。

ZKSwap是一套基于自動化做市商（AMM，Automated Market Maker）的代幣Swap協議。通過ZK-Rollup技術在Layer-2實現了uniswap的全套功能，同時提供無限可擴展性和隱私性。

ZKSwap為流動性提供者和交易者提供超高吞吐量的Swap基礎設施，且交易無需任何Gas費用。[2021/1/5 16:29:33]

      width: width,   

      height: height,   

      title: app.getName(),   

      titleBarStyle: 'hiddenInset',   

      webPreferences: {   

        nodeIntegration: true,    

      },   

      resizable: true,   

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

    }   

....code...   

    mainWindow= newBrowserWindow(windowOptions) 

}   

根據build.js配置文件，可以了解到如果此應用在Windows操作系統上運行，Node.js將被啟用。為了利用啟用的Node.js，攻擊者需要在應用程序中注入任意的JavaScript。攻擊者一般可以通過利用XSS（跨站點腳本）漏洞或者在當前Electron窗口中加載任何包含攻擊者注入的JavaScript的網站來實現攻擊。

Symbol桌面錢包（v9.7版）提供了瀏覽“新聞”的功能，只要用戶點擊新聞中的鏈接，應用程序便會從錢包窗口加載外部網站（圖中展示的是Github）。

那么漏洞又是如何被利用的呢？

為了演示該漏洞利用的流程，技術人員在個人網站上托管了以下代碼段。在Github上可以很容易的放置指向其網站的URL。當“nodeIntegration”設置為true并啟用Node.js，在“child_process”模塊的幫助下可以將任意的JavaScript執行升級為遠程代碼執行。

用戶訪問包含payload的頁面,并點擊頁面里的“Close”按鈕后，用戶的計算機上將彈出計算器。在目標系統中彈出計算器是證明成功利用代碼執行漏洞的一種方法。

Proof-of-Concept（視頻位于頁首）:

<!DOCTYPEhtml> 

<h1>click me</h1> 

<button type="button" onClick="rce_calc()">Submit</button> 

<script> 

functionrce_calc(){ 

const{ exec } = require('child_process'); 

exec('calc'); 

}  

</script> 

Symbol在修復中將“nodeIntegration”設置為false，禁止了JavaScript對Node.js模塊的訪問。此更改已經反映在了他們當前的build.js（參考文獻4）文件中。他們還更新了“新聞”功能，停止了將遠程網站加載到Electron窗口中的行為。

做為安全研究員，當在一個程序中發現漏洞，我們總會嘗試去探索此類漏洞是否在別的應用中存在。通過互聯網搜索，CertiK安全團隊發現了另一個基于Electron的加密貨幣錢包: MyCrypto。在測試時，技術人員發現MyCrypto將“nodeintegration”設置為true，并啟用了Node.js。雖然沒有找到攻擊此配置的辦法。但是我們不應該給攻擊者將“self-xss”轉化為命令代碼執行的機會。

CertiK旨在為加密社區的安全做出貢獻，并幫助企業保護用戶資產。技術人員在對方的Github 倉庫中提交了Issue。

MyCrypto十分重視，并回復該漏洞將在下一版本中修復。

Electron本身是非常優秀的軟件框架，但開發人員要注意不要因為配置錯誤而使程序暴露在危險之中。在產品中使用新技術時要小心，要保持謹慎并了解潛在的安全風險。這里CertiK安全團隊總結了幾個要點來提高基于Electron的應用程序的安全性：

在生產版本中移除對development console的訪問。

除非應用程序絕對必要，否則將“nodeintegration”設置為false。

使用“event.preventDefault（）來禁止應用程序加載外部網頁。

使用React，Vue或Angular（2+）等前端框架開發應用程序，以減少應用程序包含XSS（跨站點腳本）漏洞的機會。

持續使用最新版本的Electron框架，并保持更新。

開發Electron應用程序時，請務必閱讀參考官方安全指南（參考文獻7）。其中包含了可以提高Electron的應用的安全性的建議。

無論是由內部安全團隊還是第三方公司執行安全審計和滲透測試，對于確保系統的安全性都是至關重要的。專業的安全人員會試圖從“惡意黑客”的角度來破壞系統，幫助在真正的黑客利用漏洞之前識別和補救漏洞。

對于專業安全服務提供商而言，要提高安全測試水平的唯一途徑就是不斷學習。CertiK的安全工程師自始至終都在通過廣泛涉獵不同目標來提高自身的滲透測試技能，從而為客戶提供最佳的滲透測試服務。

參考文獻：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2018-1000136-electron-nodeintegration-bypass/

https://github.com/nemfoundation/symbol-desktop-wallet

https://github.com/nemfoundation/symbol-desktop-wallet/blob/14ddfd44fe9a54b54f8261dfaa68b2f88be211ce/public/build.js

https://github.com/nemfoundation/symbol-desktop-wallet/blob/master/public/build.js#L237

https://github.com/terra-project/station-electron/blob/5a919b87323c9d1d9c76f7c4a7deff5d731d235e/public/electron.js

https://www.electronjs.org/docs/tutorial/security#5-do-not-disable-websecurity

https://www.electronjs.org/docs/tutorial/securit

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

幣乎：bihu.com/people/1093109

Tags：NBSBSPECTELEnbs幣前景BSPAY幣VECT幣USELESS幣

中幣下載