Slack 和 Teams 的 Lax 應用程序安全性引發警報


協作應用程序,例如 Slack 和 Microsoft Teams 已成為現代工作場所的結締組織,將用戶與從消息傳遞到日程安排再到視頻會議工具的所有內容聯繫在一起。 但隨著 Slack 和 Teams 成為成熟的、支持應用程序的企業生產力操作系統,一組研究人員指出他們暴露給第三方程序的嚴重風險——同時他們受到更多組織的信任’ 敏感數據比以往任何時候都多。

威斯康星大學麥迪遜分校研究人員的一項新研究指出,Slack 和 Teams 的第三方應用程序安全模型存在令人不安的漏洞,從缺乏對應用程序代碼的審查到允許任何用戶使用的默認設置為整個工作區安裝應用程序。 雖然 Slack 和 Teams 應用程序至少受到他們在安裝時尋求批准的權限的限制,但該研究對這些保護措施的調查發現,數百個應用程序的權限仍然允許他們以用戶身份發布消息,劫持其他應用程序的功能合法的應用程序,甚至在少數情況下,在未獲得此類許可的情況下訪問私人渠道中的內容。

“Slack 和 Teams 正在成為組織所有敏感資源的交換所,”該研究的研究人員之一厄倫斯·費爾南德斯 (Earlence Fernandes) 說,他現在是加州大學聖地亞哥分校的計算機科學教授,並介紹了這項研究。上個月在 USENIX 安全會議上。 “然而,在它們上運行的應用程序提供了許多協作功能,可能會違反用戶在這樣一個平台上對安全和隱私的任何期望。”

當 WIRED 就研究人員的發現與 Slack 和微軟取得聯繫時,微軟拒絕發表評論,直到可以與研究人員交談。 (研究人員表示,他們在發布前就他們的發現與微軟進行了溝通。)Slack 方面表示,在其 Slack 應用目錄中提供的一組已批准應用在包含之前確實接受了安全審查,並會受到任何可疑行為的監控. 它“強烈建議”用戶僅安裝這些批准的應用程序,並且管理員將其工作區配置為允許用戶僅在獲得管理員權限的情況下安裝應用程序。 “我們非常重視隱私和安全,”該公司在一份聲明中表示,“我們努力確保 Slack 平台是構建和分發應用程序的可信環境,並且這些應用程序從一開始就是企業級的。”

但研究人員認為,Slack 和 Teams 在審查第三方應用程序方面仍然存在根本問題。 它們都允許集成應用程序開發人員自己的服務器上託管的應用程序,而無需 Slack 或 Microsoft 工程師審查應用程序的實際代碼。 即使是被審核以包含在 Slack 應用目錄中的應用程序也只對應用程序的功能進行了更膚淺的檢查,以查看它們是否按描述工作,檢查其安全配置的元素,例如它們對加密的使用,並運行自動應用程序掃描來檢查它們的漏洞的接口。

儘管 Slack 有自己的建議,但默認情況下,這兩個協作平台都允許任何用戶將這些獨立託管的應用程序添加到工作區。 組織的管理員可以開啟更嚴格的安全設置,要求管理員在安裝應用程序之前對其進行批准。 但即便如此,這些管理員也必須批准或拒絕應用程序,而他們自己也沒有任何能力審查他們的代碼——而且至關重要的是,應用程序的代碼可以隨時更改,從而使看似合法的應用程序變成惡意應用程序。 這意味著攻擊可能採取偽裝成無辜應用程序的惡意應用程序的形式,或者真正合法的應用程序可能會在供應鏈攻擊中被黑客破壞,其中黑客從源頭破壞應用程序,以瞄准其用戶的網絡。 由於無法訪問應用程序的底層代碼,管理員和 Slack 或 Microsoft 使用的任何監控系統都可能無法檢測到這些更改。

發佈留言