安全研究人员发现了流行的商业通信应用 Slack 和 Microsoft Teams 中存在一些令人担忧的安全漏洞。
随着项目管理软件工具,在大流行期间,商业通信应用程序的使用变得广泛,现在已成为数百万人混合工作安排的永久固定装置。
这两款应用程序所服务的用户数量和公司数量之多,让调查结果更加令人担忧。
发现重大安全漏洞
这学习由威斯康星大学麦迪逊分校的研究人员制作的报告发现了 Slack 和 Teams 安全模型中的一些潜在的灾难性漏洞。
研究人员发现,“这些系统中的访问控制模型违反了两个基本安全原则:最小特权和完全中介。”
从理论上讲,这些问题可能允许“恶意应用程序利用用户消息和连接到平台的第三方资源的机密性和完整性。”
“与 iOS 或 Android 相比,我想说他们的安全模型至少落后五到六年,”——威斯康星大学的 Yunang Chen。
研究人员能够策划三种“概念验证”攻击,第一种攻击是能够窃听用户未经许可发送的消息。
研究人员还设法发起虚假视频通话,并自动将代码合并到存储库中,而无需任何用户参与或批准。 最后一个漏洞可能是最令人担忧的,因为这将允许任何用户为整个工作区安装第三方应用程序。
两个平台的第三方应用程序审查都很差
由于第三方应用程序存在此类安全缺陷,您可能会期望 Slack 和 Microsoft Teams 对插件、附加组件和集成都有严格的审查流程。
然而,这与事实相差甚远。 例如,这两个平台都允许与给定应用程序的服务器集成,而无需经过任何一家公司的技术开发团队的审查。
研究发现,确实进行的审查是粗略且不充分的。 而且,如上所述,用户不必拥有特别特权的帐户即可将其添加到整个工作区。
一项令数百万人担忧的研究
这两种应用的全球影响力使得新发现更加令人担忧。
这不仅仅是任何小规模的项目管理软件应用程序或者客户关系管理系统 – 仅 Microsoft Teams 就拥有 2.7 亿用户,在商业世界中占有很大比例,并且具有巨大的攻击面。
虽然 Slack 的用户群较小,但它在世界上一些最负盛名和最值得信赖的公司中使用 - 几乎80% 的财富 100 强企业使用该平台。
但这也是其中保存的大量敏感数据的问题。
该研究的另一位作者厄伦斯·费尔南德斯 (Earlence Fernandes) 在最近的一次安全会议上表示:“Slack 和 Teams 正在成为组织所有敏感资源的信息交换所。”
“然而,在其上运行的应用程序提供了大量协作功能,可能会违反用户对此类平台的任何安全和隐私期望。”
这项研究势必会让这些平台的许多用户感到震惊,特别是考虑到它们在大流行期间的受欢迎程度大幅上升。
考虑到每天有多少用户依赖这些程序,此类调查结果要求立即重新审视 Microsoft 和 Slack 的应用程序审查程序。
