histats

Lax App Security de Slack et Team fait du bruit

Lax App Security de Slack et Team fait du bruit

Des applications de collaboration comme Slack et Microsoft Teams sont devenus le tissu du lieu de travail moderne, connectant les utilisateurs à tout, de la messagerie à la planification en passant par les outils de visioconférence. Mais alors que Slack et Teams deviennent des systèmes d’exploitation à part entière et compatibles avec les applications pour la productivité de l’entreprise, un groupe de chercheurs a souligné les risques sérieux liés à ce qu’ils exposent aux programmes tiers, tout en se faisant confiance avec plus de données sensibles d’organisations que jamais auparavant.

Contenu

Ce contenu peut également être consulté sur le site Web dont il provient.

Une nouvelle étude menée par des chercheurs de l’Université du Wisconsin-Madison souligne des lacunes troublantes dans le modèle de sécurité des applications tierces de Slack et Teams, allant d’un manque de révision du code de l’application à des paramètres par défaut qui permettent à tout utilisateur d’installer un app pour un espace de travail entier. Et bien que les applications Slack et Teams soient au moins limitées par les autorisations pour lesquelles elles demandent une approbation lors de l’installation, l’examen de ces mesures de sécurité par l’étude a révélé que des centaines d’autorisations d’applications leur permettraient toujours de publier potentiellement des messages en tant qu’utilisateurs, de détourner la fonctionnalité d’autres des applications légitimes, ou même, dans quelques cas, l’accès au contenu de chaînes privées alors qu’aucune autorisation de ce type n’a été accordée.

“Slack et Teams deviennent des centres d’échange pour toutes les ressources sensibles d’une organisation”, explique Earlence Fernandes, l’un des chercheurs de l’étude qui travaille maintenant comme professeur d’informatique à l’Université de Californie à San Diego, et qui a présenté la recherche. le mois dernier à la conférence USENIX Security. “Et pourtant, les applications qui y sont exécutées, qui offrent de nombreuses fonctionnalités de collaboration, peuvent violer toute attente des utilisateurs en matière de sécurité et de confidentialité sur une telle plate-forme.”

See also  How to create momentum for your circular economy strategy

Lorsque WIRED a contacté Slack et Microsoft au sujet des découvertes des chercheurs, Microsoft a refusé de commenter jusqu’à ce qu’ils puissent parler avec les chercheurs. (Les chercheurs disent avoir communiqué avec Microsoft au sujet de leurs découvertes avant leur publication.) Slack, pour sa part, indique qu’une collection d’applications approuvées disponibles dans le répertoire des applications Slack reçoit des évaluations de sécurité avant l’inclusion et est surveillée pour tout comportement suspect. Il “recommande fortement” que les utilisateurs n’installent que ces applications approuvées et que les administrateurs configurent leurs espaces de travail afin que les utilisateurs ne puissent installer des applications qu’avec l’autorisation de l’administrateur. “Nous prenons la confidentialité et la sécurité très au sérieux”, a déclaré la société dans un communiqué, “et nous nous efforçons de garantir que la plate-forme Slack est un environnement de confiance pour la création et le déploiement d’applications, et que ces applications sont de niveau entreprise dès le premier jour. .”

Mais Slack et Teams ont toujours des problèmes fondamentaux dans leur évaluation des applications tierces, affirment les chercheurs. Ils permettent tous deux l’intégration d’applications hébergées sur les propres serveurs du développeur de l’application sans examen du code réel de l’application par les ingénieurs Slack ou Microsoft. Même les applications considérées pour inclusion dans le répertoire des applications de Slack ne subissent qu’une vérification plus superficielle de la fonctionnalité des applications pour voir si elles fonctionnent comme décrit, vérifient les éléments de leur configuration de sécurité tels que l’utilisation du cryptage et exécutent des analyses d’applications automatisées qui vérifient leur interfaces pour les vulnérabilités.

See also  Download the app and get $100 free + chance at Cavs tickets

Malgré les propres recommandations de Slack, par défaut, les deux plates-formes de collaboration permettent à tout utilisateur d’ajouter ces applications hébergées indépendamment à un espace de travail. Les administrateurs d’une organisation peuvent activer des paramètres de sécurité plus stricts qui obligent les administrateurs à approuver les applications avant leur installation. Mais même dans ce cas, ces administrateurs doivent approuver ou refuser des applications sans avoir la possibilité de contrôler leur code eux-mêmes, et surtout, le code de l’application peut changer à tout moment, transformant une application apparemment légitime en une application malveillante. la forme d’applications malveillantes se faisant passer pour des applications innocentes ou véritablement légitimes peut être compromise par des pirates lors d’une attaque de la chaîne d’approvisionnement, où les pirates sabotent une application à sa source dans le but de cibler les réseaux de ses utilisateurs. Et sans accès au code sous-jacent des applications, ces modifications peuvent être indétectables pour les administrateurs et tout système de surveillance utilisé par Slack ou Microsoft.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *