[ad_1]
Aplicaciones de colaboración como Slack y Microsoft Teams se han convertido en el tejido conectivo del lugar de trabajo moderno, conectando a los usuarios con todo, desde mensajería hasta programación y herramientas de videoconferencia. Pero a medida que Slack y Teams se convierten en sistemas operativos completos habilitados para aplicaciones para la productividad empresarial, un grupo de investigadores ha señalado riesgos graves en lo que están exponiendo a programas de terceros, mientras que al mismo tiempo confían en más organizaciones. datos confidenciales que nunca.
Un nuevo estudio realizado por investigadores de la Universidad de Wisconsin-Madison señala brechas preocupantes en el modelo de seguridad de aplicaciones de terceros de Slack y Teams, que van desde la falta de inspección del código de las aplicaciones hasta la configuración predeterminada que permite a cualquier usuario instalar una aplicación. para un espacio de trabajo completo. Y aunque las aplicaciones de Slack y Teams están al menos restringidas por los permisos para los que buscan aprobación al momento de la instalación, la encuesta del estudio sobre estas medidas de seguridad encontró que los permisos de cientos de aplicaciones todavía les permitirían enviar mensajes como Usuarios para publicar y secuestrar la funcionalidad de otras aplicaciones legítimas o, en algunos casos, incluso acceder a contenido en canales privados donde no se ha otorgado dicho permiso.
«Slack y Teams se están convirtiendo en la cámara de compensación de todos los activos confidenciales de una organización», dijo Earlence Fernandes, uno de los investigadores del estudio, quien ahora es profesor de informática en la Universidad de California en San Diego y presentó la investigación en USENIX. Seguridad último mes Conferencia. «Y, sin embargo, las aplicaciones que se ejecutan en él, que ofrecen muchas funciones de colaboración, pueden violar las expectativas de seguridad y privacidad que los usuarios tendrían de dicha plataforma».
Cuando WIRED actualizó a Slack y Microsoft sobre los hallazgos de los investigadores, Microsoft se negó a comentar hasta que pudiera hablar con los investigadores. (Los investigadores dicen que se comunicaron con Microsoft sobre sus hallazgos antes de la publicación). Por su parte, Slack dice que una colección de aplicaciones aprobadas disponibles en su Directorio de aplicaciones de Slack recibe revisiones de seguridad antes de que se incluyan y controlen comportamientos sospechosos. Se «recomienda enfáticamente» que los usuarios solo instalen estas aplicaciones aprobadas y que los administradores configuren sus espacios de trabajo para permitir que los usuarios instalen aplicaciones solo con el permiso de un administrador. «Nos tomamos muy en serio la privacidad y la seguridad», dijo la compañía en un comunicado, «y estamos trabajando para garantizar que la plataforma Slack sea un entorno confiable para crear y distribuir aplicaciones, y que estas aplicaciones estén listas para la empresa desde el primer día. son adecuados».
Pero tanto Slack como Teams todavía tienen problemas fundamentales al revisar aplicaciones de terceros, argumentan los investigadores. Ambos permiten la integración de aplicaciones alojadas en los propios servidores del desarrollador de aplicaciones sin que los ingenieros de Slack o Microsoft revisen el código real de las aplicaciones. Incluso las aplicaciones que han sido revisadas para su inclusión en el Directorio de aplicaciones de Slack solo se someten a una revisión más superficial de la funcionalidad de las aplicaciones para ver si funcionan como se anuncia, verificando elementos de su configuración de seguridad, como el uso de cifrado y Ejecutar aplicación automatizada. exploraciones que verifican sus interfaces en busca de vulnerabilidades.
A pesar de las propias recomendaciones de Slack, ambas plataformas de colaboración permiten que cualquier usuario agregue estas aplicaciones alojadas de forma independiente a un espacio de trabajo de forma predeterminada. Los administradores de una organización pueden habilitar configuraciones de seguridad más estrictas que requieren que los administradores aprueben las aplicaciones antes de instalarlas. Pero incluso entonces, esos administradores deben aprobar o desaprobar las aplicaciones sin siquiera poder revisar su código ellos mismos y, lo que es más importante, el código de las aplicaciones puede cambiar en cualquier momento, convirtiendo lo que parece ser una aplicación legítima en una aplicación maliciosa. Esto significa que los ataques pueden venir en forma de aplicaciones maliciosas disfrazadas de inofensivas, o las aplicaciones genuinamente legítimas pueden verse comprometidas por piratas informáticos en un ataque a la cadena de suministro, donde los piratas informáticos sabotean una aplicación en su origen para atacar las redes de sus usuarios. Y sin acceso al código subyacente de las aplicaciones, estos cambios pueden ser indetectables tanto para los administradores como para cualquier sistema de monitoreo utilizado por Slack o Microsoft.
[ad_2]