Slack och Microsoft Teams är oroande hackbara
Säkerhetsforskare har avslöjat ett antal angående säkerhetsbrister i populära affärskommunikationsappar Slack och Microsoft Teams.
Tillsammans med verktyg för projektledningblev användningen av företagskommunikationsappar utbredd under pandemin och är nu en permanent del av miljontals människors hybridarrangemang.
Det stora antalet användare – såväl som företagen – som båda dessa appar tillgodoser för att göra resultaten desto mer oroande.
Stora säkerhetsbrister upptäckt
De studieproducerad av forskare vid University of Wisconsin-Madison har identifierat ett antal potentiellt katastrofala luckor i både Slack och Teams säkerhetsmodeller.
Forskarna fann att “åtkomstkontrollmodellen i dessa system bryter mot två grundläggande säkerhetsprinciper: minsta privilegium och fullständig medling.”
Dessa problem kan i teorin tillåta “en skadlig app att utnyttja konfidentialitet och integritet för användarmeddelanden och tredjepartsresurser anslutna till plattformen.”
“Jämfört med iOS eller Android skulle jag säga att deras säkerhetsmodell ligger minst fem till sex år efter,” – Yunang Chen, University of Wisconsin.
Forskarna kunde iscensätta tre “proof-of-concept”-attacker, den första var möjligheten att avlyssna meddelanden som skickats av användare utan tillåtelse att göra det.
Forskarna lyckades också starta falska videosamtal och automatiskt slå samman kod till arkiv utan någon användarinblandning eller godkännande. Denna sista sårbarhet är kanske den mest oroande, eftersom detta skulle låta alla användare installera en tredjepartsapp för en hel arbetsyta.
Dålig tredjepartsappkontroll från båda plattformarna
Med sådana säkerhetsbrister kring tredjepartsapplikationer kan du förvänta dig att både Slack och Microsoft Teams har stränga granskningsprocesser för plugin-program, tillägg och integrationer.
Detta kunde dock inte vara längre från sanningen. Båda plattformarna tillåter till exempel integration med en given apps servrar utan granskning från något av företagens tekniska utvecklingsteam.
Granskningar som görs, finner studien, är överflödiga och otillräckliga. Och, som tidigare nämnts, behöver en användare inte ha ett särskilt privilegierat konto för att lägga till detta i hela arbetsytan.
En oroande studie för miljoner
Den globala räckvidden för båda dessa applikationer gör de nya rönen ännu mer oroande.
Det här är inte vilken liten skala som helst program för projektledning eller CRM-system – Enbart Microsoft Teams har 270 miljoner användare, en stor del av affärsvärlden och en massiv attackyta.
Även om Slacks användarbas är mindre, används dess användning bland några av de mest prestigefyllda och pålitliga företagen i världen – nästan 80 % av Fortune 100-företagen använda plattformen.
Men det är också den stora mängden känslig information som finns i dem.
“Slack och Teams blir clearinghouses för alla en organisations känsliga resurser”, sa Earlence Fernandes, en annan av studiens författare, vid en säkerhetskonferens nyligen.
“Och ändå kan apparna som körs på dem, som ger en hel del samarbetsfunktioner, bryta mot alla förväntningar på säkerhet och integritet användare skulle ha på en sådan plattform.”
Forskningen kommer definitivt att alarmera många användare av dessa plattformar, särskilt med tanke på deras enorma popularitet under pandemin.
Fynd som dessa kräver ett omedelbart återbesök av Microsoft och Slacks appkontrollprocedurer – med tanke på hur många användare som litar på dem dagligen.
