La seguridad de la aplicación Lax de Slack y Teams genera alarmas

Aplicaciones de colaboración como Slack y Microsoft Teams se han convertido en el tejido conectivo del lugar de trabajo moderno, uniendo a los usuarios con todo, desde mensajería hasta programación y herramientas de videoconferencia. Pero a medida que Slack y Teams se convierten en sistemas operativos de productividad corporativa completos y habilitados para aplicaciones, un grupo de investigadores ha señalado riesgos graves en lo que exponen a programas de terceros, al mismo tiempo que más organizaciones confían en ellos. ‘ datos confidenciales que nunca.

Un nuevo estudio realizado por investigadores de la Universidad de Wisconsin-Madison señala brechas preocupantes en el modelo de seguridad de aplicaciones de terceros tanto de Slack como de Teams, que van desde la falta de revisión del código de las aplicaciones hasta configuraciones predeterminadas que permiten a cualquier usuario instalar una aplicación para un espacio de trabajo completo. Y aunque las aplicaciones de Slack y Teams están al menos limitadas por los permisos para los que buscan aprobación al momento de la instalación, la encuesta del estudio sobre esas medidas de seguridad encontró que los permisos de cientos de aplicaciones les permitirían, no obstante, publicar mensajes como usuarios, secuestrar la funcionalidad de otros aplicaciones legítimas, o incluso, en un puñado de casos, acceder a contenido en canales privados cuando no se otorgó dicho permiso.

“Slack y Teams se están convirtiendo en cámaras de compensación de todos los recursos confidenciales de una organización”, dice Earlence Fernandes, uno de los investigadores del estudio que ahora trabaja como profesor de informática en la Universidad de California en San Diego, y quien presentó la investigación. el mes pasado en la conferencia de seguridad USENIX. “Y, sin embargo, las aplicaciones que se ejecutan en ellos, que brindan una gran cantidad de funciones de colaboración, pueden violar cualquier expectativa de seguridad y privacidad que los usuarios tendrían en dicha plataforma”.

Cuando WIRED contactó a Slack y Microsoft sobre los hallazgos de los investigadores, Microsoft se negó a comentar hasta que pudiera hablar con los investigadores. (Los investigadores dicen que se comunicaron con Microsoft sobre sus hallazgos antes de la publicación). Slack, por su parte, dice que una colección de aplicaciones aprobadas que está disponible en su Directorio de aplicaciones de Slack recibe revisiones de seguridad antes de su inclusión y son monitoreadas por cualquier comportamiento sospechoso. . “Recomienda encarecidamente” que los usuarios instalen solo estas aplicaciones aprobadas y que los administradores configuren sus espacios de trabajo para permitir que los usuarios instalen aplicaciones solo con el permiso de un administrador. “Nos tomamos la privacidad y la seguridad muy en serio”, dice la compañía en un comunicado, “y trabajamos para garantizar que la plataforma Slack sea un entorno confiable para crear y distribuir aplicaciones, y que esas aplicaciones sean de nivel empresarial desde el primer día”.

Sin embargo, tanto Slack como Teams tienen problemas fundamentales en su investigación de aplicaciones de terceros, argumentan los investigadores. Ambos permiten la integración de aplicaciones alojadas en los propios servidores del desarrollador de aplicaciones sin que los ingenieros de Slack o Microsoft revisen el código real de las aplicaciones. Incluso las aplicaciones revisadas para su inclusión en el Directorio de aplicaciones de Slack solo se someten a una verificación más superficial de la funcionalidad de las aplicaciones para ver si funcionan como se describe, verifican elementos de su configuración de seguridad, como el uso de cifrado, y ejecutan escaneos automáticos de aplicaciones que verifican su interfaces para vulnerabilidades.

A pesar de las propias recomendaciones de Slack, ambas plataformas de colaboración permiten de forma predeterminada que cualquier usuario agregue estas aplicaciones alojadas de forma independiente a un espacio de trabajo. Los administradores de una organización pueden activar configuraciones de seguridad más estrictas que requieren que los administradores aprueben las aplicaciones antes de instalarlas. Pero incluso entonces, esos administradores deben aprobar o denegar las aplicaciones sin tener la capacidad de examinar su código, y lo que es más importante, el código de las aplicaciones puede cambiar en cualquier momento, lo que permite que una aplicación aparentemente legítima se convierta en una aplicación maliciosa. Eso significa que los ataques pueden tomar la forma de aplicaciones maliciosas disfrazadas de inocentes, o las aplicaciones verdaderamente legítimas pueden verse comprometidas por piratas informáticos en un ataque a la cadena de suministro, en el que los piratas informáticos sabotean una aplicación en su origen en un esfuerzo por atacar las redes de sus usuarios. Y sin acceso al código subyacente de las aplicaciones, esos cambios podrían ser indetectables tanto para los administradores como para cualquier sistema de monitoreo utilizado por Slack o Microsoft.