На новозеландской конференции KIWICON группа исследователей представила опенсорсный фреймворк Little Doctor, созданный для компрометации приложений чатов, работающих на базе JavaScript. Также исследователи рассказали о 0-day уязвимости в Microsoft Azure Storage Explorer, использующейся в ходе атак. Исследователи говорят, что дали Microsoft 90 дней на устранение проблемы, однако компания им не ответила и пока не выпустила патч.
Множество популярных приложений находятся в группе риска в силу своей архитектуры, а не из-за каких-то специфических уязвимостей. Так, проблемы могут возникнуть у сервисов на базе Electron и содержащих встроенный webview. Little Docter способен извлекать файлы, похищать данные с микрофона и веб-камеры устройства.
«Little Doctor написан в модульном стиле, для создания червя практически для любой платформы, вам понадобится только ваш собственный propagation модуль. Этот кроссплатформенный червь позволяет похищать файлы любых приложений, которые сообщаются с WebRTC API и Cordova API», -- говорят исследователи.
Исследователи продемонстрировали работу своего детища на примере приложений Rocket Chat и Ryver (см. видео ниже). На данный момент разработчики обоих приложений уже представили патчи, препятствующие работе эксплоита.
Код Little Doctor уже опубликован GitHub, чтобы исследователи и пентестеры могли взять его на вооружение.
