gibi işbirliği uygulamaları Slack ve Microsoft Teams, mesajlaşmadan programlamaya ve video konferans araçlarına kadar her şeyi kullanıcıları birbirine bağlayarak modern iş yerinin birleştirici dokusu haline geldi. Ancak Slack ve Teams, kurumsal üretkenliğin tam gelişmiş, uygulama destekli işletim sistemleri haline geldikçe, bir grup araştırmacı, üçüncü taraf programlara maruz kaldıklarında ciddi risklere işaret etti – aynı zamanda daha fazla kuruluş tarafından güveniliyorlar. ‘ her zamankinden daha hassas veriler.
Wisconsin-Madison Üniversitesi’ndeki araştırmacılar tarafından yapılan yeni bir araştırma, hem Slack’in hem de Teams’in üçüncü taraf uygulama güvenlik modelinde, uygulamaların kodunun gözden geçirilmemesinden herhangi bir kullanıcının izin veren varsayılan ayarlara kadar uzanan rahatsız edici boşluklara işaret ediyor. tüm çalışma alanı için bir uygulama yükleyin. Slack ve Teams uygulamaları en azından kurulum sonrasında onay istedikleri izinlerle sınırlı olsa da, çalışmanın bu güvenlik önlemleriyle ilgili anketi, yüzlerce uygulamanın izinlerinin yine de bir kullanıcı olarak potansiyel olarak mesaj göndermelerine, diğerlerinin işlevlerini ele geçirmelerine izin vereceğini buldu. meşru uygulamalar, hatta birkaç durumda, böyle bir izin verilmediğinde özel kanallardaki içeriğe erişir.
Araştırmanın araştırmacılarından biri olan ve şu anda San Diego’daki California Üniversitesi’nde bilgisayar bilimi profesörü olarak çalışan ve araştırmayı sunan Earlence Fernandes, “Slack ve Teams, bir kuruluşun tüm hassas kaynaklarının takas odaları haline geliyor” diyor. USENIX Güvenlik konferansında geçen ay. “Yine de, üzerinde çalışan ve çok sayıda işbirliği işlevi sağlayan uygulamalar, kullanıcıların böyle bir platformda sahip olacağı herhangi bir güvenlik ve gizlilik beklentisini ihlal edebilir.”
WIRED, araştırmacıların bulguları hakkında Slack ve Microsoft’a ulaştığında, Microsoft, araştırmacılarla konuşana kadar yorum yapmayı reddetti. (Araştırmacılar, bulguları yayınlamadan önce Microsoft ile iletişim kurduklarını söylüyorlar.) Slack, kendi adına, Slack Uygulama Dizini’nde bulunan onaylanmış uygulamaların bir koleksiyonunun, dahil edilmeden önce güvenlik incelemeleri aldığını ve herhangi bir şüpheli davranış için izlendiğini söylüyor. . Kullanıcıların yalnızca bu onaylanmış uygulamaları yüklemesini ve yöneticilerin çalışma alanlarını, kullanıcıların yalnızca bir yöneticinin izniyle uygulamaları yüklemesine izin verecek şekilde yapılandırmasını “şiddetle önerir”. Şirket yaptığı açıklamada, “Gizlilik ve güvenliği çok ciddiye alıyoruz” diyor ve “Slack platformunun uygulamalar oluşturmak ve dağıtmak için güvenilir bir ortam olmasını ve bu uygulamaların ilk günden itibaren kurumsal düzeyde olmasını sağlamak için çalışıyoruz.”
Ancak araştırmacılar, hem Slack hem de Teams’in üçüncü taraf uygulamaları incelemelerinde yine de temel sorunları olduğunu savunuyorlar. Her ikisi de, Slack veya Microsoft mühendisleri tarafından uygulamaların gerçek kodunu incelemeden uygulama geliştiricisinin kendi sunucularında barındırılan uygulamaların entegrasyonuna izin verir. Slack’in Uygulama Dizinine dahil edilmek üzere incelenen uygulamalar bile, açıklandığı gibi çalışıp çalışmadıklarını görmek, güvenlik yapılandırmalarının şifreleme kullanımları gibi öğelerini kontrol etmek ve bunları kontrol eden otomatik uygulama taramaları çalıştırmak için uygulamaların işlevselliğinin yalnızca daha yüzeysel bir kontrolünden geçer. güvenlik açıkları için arayüzler.
Slack’in kendi önerilerine rağmen, her iki işbirliği platformu da varsayılan olarak herhangi bir kullanıcının bağımsız olarak barındırılan bu uygulamaları bir çalışma alanına eklemesine izin verir. Bir kuruluşun yöneticileri, yöneticilerin uygulamaları yüklenmeden önce onaylamasını gerektiren daha katı güvenlik ayarlarına geçebilir. Ancak o zaman bile, bu yöneticilerin kendi kodlarını inceleme yetenekleri olmadan uygulamaları onaylaması veya reddetmesi gerekir – ve en önemlisi, uygulamaların kodu her an değişebilir ve görünüşte meşru bir uygulamanın kötü niyetli bir uygulamaya dönüşmesine izin verebilir. Bu, saldırıların masum olarak gizlenen kötü amaçlı uygulamalar biçimini alabileceği veya bilgisayar korsanlarının, bilgisayar korsanlarının kullanıcılarının ağlarını hedef almak amacıyla bir uygulamayı kaynağında sabote ettiği bir tedarik zinciri saldırısında gerçek anlamda meşru uygulamaların ele geçirilebileceği anlamına gelir. Ve uygulamaların altında yatan koda erişim olmadığında, bu değişiklikler hem yöneticiler hem de Slack veya Microsoft tarafından kullanılan herhangi bir izleme sistemi tarafından tespit edilemeyebilir.