We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

ElectroVolt - Pwning Popular Desktop Apps while uncovering new Attack Surface on Electron

00:00
Abspielgeschwindigkeit
1
Qualität
1080p
Untertitel
Aus
Abspielgeschwindigkeit
0.25
0.5
0.75
1
1.25
1.5
1.75
2
Qualität
1080p
720p
480p
360p
240p
24
 Zitieren
 Teilen
 Herunterladen Bestellen
Kein Logo verfügbarDEF CON
 Purani, Aaditya Pedhapati, Mohan Sri Rama Krishna Garrett, Max Bowling, William

Formale Metadaten

Titel
ElectroVolt - Pwning Popular Desktop Apps while uncovering new Attack Surface on Electron
Serientitel
Anzahl der Teile
85
Autor
Mitwirkende
Lizenz
CC-Namensnennung 3.0 Unported:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
Identifikatoren
Herausgeber
Erscheinungsjahr
Sprache

Inhaltliche Metadaten

Fachgebiet
Genre
Abstract
Electron based apps are becoming a norm these days as it allows encapsulating web applications into a desktop app which is rendered using chromium. However, if Electron apps load remote content of attackers choice either via feature or misconfiguration of Deep Link or Open redirect or XSS it would lead to Remote Code Execution on the OS. Previously, it was known that lack of certain feature flags and inefficiency to apply best practices would cause this behavior but we have identified sophisticated novel attack vectors within the core electron framework which could be leveraged to gain remote code execution on Electron apps despite all feature flags being set correctly under certain circumstances. This presentation covers the vulnerabilities found in twenty commonly used Electron applications and demonstrates Remote Code Execution within apps such as Discord, Teams(local file read), VSCode, Basecamp, Mattermost, Element, Notion, and others. The speaker's would like to thank Mohan Sri Rama Krishna Pedhapati, Application Security Auditor, Cure53 and William Bowling, Senior Software Developer, Biteable for their contributions to this presentation.
00:00
FlächentheorieRucksackproblemInverser LimesComputersicherheitWasserdampftafelFramework <Informatik>SystemplattformModul <Datentyp>GruppenoperationIntelProzess <Informatik>RechenwerkMenütechnikGemeinsamer SpeicherProgrammbibliothekBimodulArchitektur <Informatik>MengeComputersicherheitProzess <Informatik>PunktKartesische KoordinatenFramework <Informatik>PortabilitätComputerFlächentheorieApp <Programm>BildschirmsymbolLokales MinimumPerfekte GruppeMultiplikationWeb-SeiteDifferenteFlächeninhaltTypentheorieOpenURLVolumenvisualisierungComputerarchitekturBenutzerbeteiligungBrowserGraphische BenutzeroberflächePrimitive <Informatik>ProgrammbibliothekBildschirmfensterBimodulTelekommunikationDiagrammKlasse <Mathematik>MaschinencodeIntegralParametersystemKontextbezogenes SystemOpen SourceQuellcodeSkriptspracheLesezeichen <Internet>InterprozesskommunikationObjekt <Kategorie>GoogolMessage-PassingSoftwareentwicklerDienst <Informatik>Güte der AnpassungEreignishorizontNabel <Mathematik>Web SiteBoolesche AlgebraWasserdampftafelService providerHackerInternetworkingReelle ZahlComputeranimation
06:55
Modul <Datentyp>Prozess <Informatik>InterprozesskommunikationBimodulDesintegration <Mathematik>Kontextbezogenes SystemProgrammbibliothekModemFlächentheorieInverser LimesSoftwareschwachstelleProxy ServerKette <Mathematik>ATMDatenflussMaschinenspracheLeckVerzeichnisdienstWurm <Informatik>Inhalt <Mathematik>ProgrammfehlerKontextbezogenes SystemPrimitive <Informatik>Reverse EngineeringVolumenvisualisierungBrowserMaßerweiterungWeb-SeiteQuadratzahlDiagrammDateiverwaltungMinkowski-MetrikMereologieProtokoll <Datenverarbeitungssystem>PasswortQuellcodePhysikalische SchichtKonfigurationsraumKartesische KoordinatenMathematikWeb-ApplikationProjektive EbeneExploitBeobachtungsstudieExogene VariableSoftwareentwicklerMessage-PassingMaschinencodeSkriptspracheDatenverarbeitungssystemNabel <Mathematik>CASE <Informatik>Ordnung <Mathematik>MaschinenspracheATMMeta-TagPunktFlächeninhaltProzess <Informatik>Reelle ZahlKreisflächeRPCRechenschieberInhalt <Mathematik>IntegralFlächentheorieGraphfärbungDefaultElektronische PublikationLeckVerzeichnisdienstComputerSoftwareschwachstelleWeb SiteZahlenbereichKette <Mathematik>BildschirmfensterZweiLastEinsSichtenkonzeptBenutzerbeteiligungFramework <Informatik>Computeranimation
13:49
ExploitVolumenvisualisierungModul <Datentyp>Prozess <Informatik>Eingebettetes SystemBimodulProgrammbibliothekInterprozesskommunikationDesintegration <Mathematik>Kontextbezogenes SystemGraphische BenutzeroberflächeVideokonferenzFramework <Informatik>BildschirmfensterBildschirmfensterYouTubeVersionsverwaltungWeb SiteVideokonferenzEingebettetes SystemVerschlingungComputerKartesische KoordinatenMaschinencodeRPCCASE <Informatik>Kontextbezogenes SystemPunktGraphische BenutzeroberflächeVolumenvisualisierungProgrammbibliothekMereologieBitSystemzusammenbruchKalkülProgrammfehlerQuellcodeExploitQuick-SortSoftwareschwachstelleMengeDemo <Programm>SoftwareentwicklerDienst <Informatik>DefaultVideoportalSoftwaretestMaschinenspracheBeweistheorieBeobachtungsstudieEndliche ModelltheorieComputeranimation
17:05
Demo <Programm>SpeicherabzugBenutzerfreundlichkeitURLWurm <Informatik>ProgrammfehlerBildschirmfensterKalkülComputeranimation
17:43
MaschinencodeWeb SiteModul <Datentyp>Prozess <Informatik>BimodulDesintegration <Mathematik>Kontextbezogenes SystemInterprozesskommunikationLeckPrototypingNabel <Mathematik>Funktion <Mathematik>Graphische BenutzeroberflächePhysikalisches SystemVolumenvisualisierungInhalt <Mathematik>SoftwareentwicklerStellenringBrowserNormierter RaumRechenwerkProgrammbibliothekInterprozesskommunikationApp <Programm>SoftwaretestBrowserCASE <Informatik>VolumenvisualisierungSoftwareentwicklerBildschirmfensterGraphische BenutzeroberflächeSchnelltasteElektronische PublikationLesen <Datenverarbeitung>KalkülLeckDefaultKontextbezogenes SystemKartesische KoordinatenHIP <Kommunikationsprotokoll>IntegralPrototypingFunktion <Mathematik>Offene MengeProgrammfehlerBimodulMultiplikationsoperatorInklusion <Mathematik>Reelle ZahlVersionsverwaltungExploitBildgebendes VerfahrenProzess <Informatik>ThumbnailWeb-SeitePrimitive <Informatik>DiagrammComputerTypentheorieMaschinencodeQuick-SortInhalt <Mathematik>MereologieToken-RingOpenURLNabel <Mathematik>BitUmwandlungsenthalpieWeb SiteRPCStellenringBridge <Kommunikationstechnik>SchaltnetzObjekt <Kategorie>Endliche ModelltheorieKonfigurationsraumComputersicherheitZahlenbereichKategorie <Mathematik>SpeicherverwaltungBenutzerbeteiligungMengeExpertensystemSystemaufruf
26:45
Konfiguration <Informatik>Framework <Informatik>Prozess <Informatik>Kontextbezogenes SystemMarketinginformationssystemIRIS-TGoogolBildschirmsymbolKalkülBildschirmfensterFehlermeldungInformationsmanagementPatch <Software>Desintegration <Mathematik>ImplementierungElement <Gruppentheorie>Graphische BenutzeroberflächeVerschlingungExploitPASS <Programm>TrägheitsmomentVolumenvisualisierungClientNabel <Mathematik>Luenberger-BeobachterLesen <Datenverarbeitung>AnwendungssoftwareInhalt <Mathematik>BenutzerbeteiligungVariableIntegralFramework <Informatik>SynchronisierungUmwandlungsenthalpieParametersystemGanze FunktionComputerProgrammfehlerReelle ZahlElektronische PublikationLesen <Datenverarbeitung>VolumenvisualisierungWrapper <Programmierung>VerzeichnisdienstVererbungshierarchieHIP <Kommunikationsprotokoll>InternetworkingPrimitive <Informatik>VersionsverwaltungURLEingebettetes SystemBildschirmfensterCASE <Informatik>MengeFahne <Mathematik>MAPMultiplikationsoperatorDemoszene <Programmierung>KalkülElement <Gruppentheorie>App <Programm>Web SiteOpenURLGraphische BenutzeroberflächeVideokonferenzEinsFunktionalKontextbezogenes SystemMaschinencodeExploitOffene MengeKartesische KoordinatenBitInhalt <Mathematik>Web-SeiteSystemaufrufVerschlingungHalbleiterspeicherProzess <Informatik>ZahlenbereichInterprozesskommunikationDemo <Programm>BrowserComputersicherheitFlächeninhaltMathematische LogikKategorie <Mathematik>Bridge <Kommunikationstechnik>DatenverarbeitungssystemSpeicherverwaltungVollständiger VerbandNabel <Mathematik>BeobachtungsstudieMathematik
35:46
Web SiteProzess <Informatik>Total <Mathematik>Chatten <Kommunikation>Framework <Informatik>Inverser LimesIdeal <Mathematik>FlächentheorieURLOffene MengeAnwendungsschichtMessage-PassingProzess <Informatik>MathematikComputerDatenverarbeitungssystemMaschinencodeVererbungshierarchieComputersicherheitMereologieWeb-SeiteDomain <Netzwerk>Eingebettetes SystemWeb SiteOpenURLExploitYouTubeGraphische BenutzeroberflächePunktApp <Programm>VolumenvisualisierungKontextbezogenes SystemMultiplikationsoperatorBeweistheorieMenütechnikKartesische KoordinatenBildschirmfensterFramework <Informatik>MAPWeb logFlächentheorieVerschlingungURLDifferenteProgrammfehlerPhysikalisches SystemGanze FunktionMaskierung <Informatik>Primitive <Informatik>UmwandlungsenthalpieBridge <Kommunikationstechnik>ProgrammierungSoftwareschwachstelleCoxeter-GruppeCASE <Informatik>SoftwareentwicklerIntegralSelbst organisierendes SystemEndliche ModelltheorieInterprozesskommunikationPrototypingElektronische PublikationKalkülSystemaufrufParametersystemRechenschieberVersionsverwaltungGamecontrollerNabel <Mathematik>Reelle ZahlKugelkappeSchnelltasteQuick-SortComputeranimationVorlesung/Konferenz
Transkript: Englisch(automatisch erzeugt)