Security Week 2239: безопасность аддонов для Slack и Teams

На прошлой неделе исследователи из университета штата Висконсин опубликовали работу, посвященную безопасности двух популярных корпоративных сервисов — Slack и Microsoft Teams. Исследование посвящено приложениям, расширяющим функциональность этих платформ для совместной работы, и его результаты показывают, что защищенность сервисов против потенциальных атак злоумышленников оставляет желать лучшего. Как отметил один из авторов работы в интервью журналу Wired, Slack и Teams используют модель безопасности, которая минимум на пять-шесть лет отстает от подхода, применяемого, например, в магазинах приложений для iOS и Android.



Отчасти проблема происходит из самой сути подобных сервисов с их клиент-серверной моделью, распространяемой в том числе на аддоны сторонних разработчиков. Приложения, расширяющие функциональность корпоративных чатов, также хостятся где-то на сервере у разработчика программы. Это означает, что подробное исследование кода аддона, что является нормальной практикой для корпоративного окружения, невозможно — приходится полагаться на описание функциональности приложения. И даже если удастся провести аудит кода, полный контроль над приложением со стороны разработчика позволяет в любой момент его подменить. Но проблема не только в этом: возможности вредоносного приложения в корпоративном чате мало чем ограничены.
Читать дальше →

Источник: Хабрахабр