Slack and Teams ‘Lax App Security

Xem Thêm : 34 nhà bếp và nhà tốt nhất trong ngày chính thức

Các ứng dụng cộng tác như Slack và Microsoft Teams đã trở thành mô liên kết của môi trường làm việc hiện đại, gắn kết người dùng với nhau bằng mọi thứ, từ nhắn tin, lên lịch đến các công cụ hội nghị truyền hình. Nhưng khi Slack và Teams trở thành hệ điều hành hỗ trợ ứng dụng hiệu quả cho năng suất của công ty, một nhóm các nhà nghiên cứu đã chỉ ra những rủi ro nghiêm trọng trong những gì họ tiếp xúc với các chương trình của bên thứ ba — đồng thời khi chúng được tin cậy với nhiều tổ chức hơn ‘dữ liệu nhạy cảm hơn bao giờ hết.

Một nghiên cứu mới của các nhà nghiên cứu tại Đại học Wisconsin-Madison chỉ ra những lỗ hổng đáng lo ngại trong mô hình bảo mật ứng dụng của bên thứ ba của cả Slack và Teams, bao gồm từ việc thiếu xem xét mã của ứng dụng đến cài đặt mặc định cho phép bất kỳ người dùng nào cài đặt một ứng dụng cho toàn bộ không gian làm việc. Và mặc dù các ứng dụng Slack và Teams ít nhất bị giới hạn bởi các quyền mà chúng tìm kiếm sự chấp thuận khi cài đặt, cuộc khảo sát của nghiên cứu về các biện pháp bảo vệ đó cho thấy rằng hàng trăm quyền của ứng dụng sẽ cho phép chúng có khả năng đăng thông báo với tư cách là người dùng, chiếm đoạt chức năng của các ứng dụng khác các ứng dụng hợp pháp hoặc thậm chí, trong một số ít trường hợp, truy cập nội dung trong các kênh riêng tư khi không có sự cho phép đó.

Earlence Fernandes, một trong những nhà nghiên cứu của nghiên cứu này, hiện là giáo sư khoa học máy tính tại Đại học California ở San Diego, và là người đã trình bày nghiên cứu, cho biết: “Slack và Team đang trở thành nơi bù trừ tất cả các nguồn tài nguyên nhạy cảm của một tổ chức. tháng trước tại hội nghị USENIX Security. “Chưa hết, các ứng dụng chạy trên chúng, cung cấp nhiều chức năng cộng tác, có thể vi phạm bất kỳ kỳ vọng nào về bảo mật và quyền riêng tư mà người dùng sẽ có trong một nền tảng như vậy.”

Khi WIRED liên hệ với Slack và Microsoft về phát hiện của các nhà nghiên cứu, Microsoft đã từ chối bình luận cho đến khi họ có thể nói chuyện với các nhà nghiên cứu. (Các nhà nghiên cứu cho biết họ đã trao đổi với Microsoft về những phát hiện của họ trước khi xuất bản.) Về phần mình, Slack nói rằng một bộ sưu tập các ứng dụng đã được phê duyệt có sẵn trong Thư mục ứng dụng Slack của nó sẽ nhận được đánh giá bảo mật trước khi đưa vào và được giám sát để phát hiện bất kỳ hành vi đáng ngờ nào. . Nó “thực sự khuyến nghị” người dùng chỉ cài đặt các ứng dụng đã được phê duyệt này và quản trị viên định cấu hình không gian làm việc của họ để cho phép người dùng cài đặt ứng dụng chỉ khi có sự cho phép của quản trị viên. “Chúng tôi rất coi trọng quyền riêng tư và bảo mật”, công ty cho biết trong một tuyên bố, “và chúng tôi làm việc để đảm bảo rằng nền tảng Slack là một môi trường đáng tin cậy để xây dựng và phân phối các ứng dụng và những ứng dụng đó là cấp doanh nghiệp ngay từ ngày đầu tiên.”

Tuy nhiên, cả Slack và Teams đều có những vấn đề cơ bản trong quá trình kiểm tra các ứng dụng của bên thứ ba, các nhà nghiên cứu lập luận. Cả hai đều cho phép tích hợp các ứng dụng được lưu trữ trên máy chủ của chính nhà phát triển ứng dụng mà không cần kỹ sư Slack hoặc Microsoft đánh giá mã thực tế của ứng dụng. Ngay cả những ứng dụng được đánh giá để đưa vào Thư mục ứng dụng của Slack cũng chỉ trải qua một đợt kiểm tra sơ bộ hơn về chức năng của ứng dụng để xem liệu chúng có hoạt động như mô tả hay không, kiểm tra các yếu tố trong cấu hình bảo mật của chúng, chẳng hạn như việc sử dụng mã hóa và chạy quét ứng dụng tự động để kiểm tra giao diện cho các lỗ hổng.

Bất chấp các đề xuất của chính Slack, cả hai nền tảng cộng tác theo mặc định đều cho phép bất kỳ người dùng nào thêm các ứng dụng được lưu trữ độc lập này vào không gian làm việc. Quản trị viên của tổ chức có thể bật các cài đặt bảo mật chặt chẽ hơn yêu cầu quản trị viên phê duyệt ứng dụng trước khi chúng được cài đặt. Nhưng ngay cả khi đó, những quản trị viên đó cũng phải phê duyệt hoặc từ chối ứng dụng mà bản thân họ cũng không có khả năng kiểm tra mã của chúng — và quan trọng là mã của ứng dụng có thể thay đổi bất cứ lúc nào, cho phép một ứng dụng có vẻ hợp pháp trở thành một ứng dụng độc hại. Điều đó có nghĩa là các cuộc tấn công có thể xảy ra dưới dạng các ứng dụng độc hại được ngụy trang thành những ứng dụng vô tội hoặc các ứng dụng thực sự hợp pháp có thể bị tin tặc xâm nhập trong một cuộc tấn công chuỗi cung ứng, trong đó tin tặc phá hoại một ứng dụng tại nguồn của nó nhằm cố gắng nhắm mục tiêu vào mạng của người dùng. Và không có quyền truy cập vào mã cơ bản của ứng dụng, những thay đổi đó có thể không phát hiện được đối với cả quản trị viên và bất kỳ hệ thống giám sát nào được Slack hoặc Microsoft sử dụng.