Security Security / Cyberattacks and Hacks Security / Security News Slacking Off أخبار تقنية تقنية تكنولوجيا شروحات مراجعات تقنية مقالات معلوماتية

يرفع أمان تطبيق Slack و Teams المتراخي الإنذارات

alwaliسبتمبر 23, 2022آخر تحديث: سبتمبر 23, 2022

يرفع أمان تطبيق Slack و Teams المتراخي الإنذارات

تطبيقات التعاون مثل أصبح Slack و Microsoft Teams النسيج الضام لمكان العمل الحديث ، حيث يربطان المستخدمين معًا بكل شيء بدءًا من المراسلة وحتى الجدولة وحتى أدوات مؤتمرات الفيديو. ولكن نظرًا لأن Slack و Teams أصبحا أنظمة تشغيل كاملة وممكّنة للتطبيقات لإنتاجية الشركة ، فقد أشارت مجموعة من الباحثين إلى مخاطر جسيمة فيما يعرضونه لبرامج الجهات الخارجية – في نفس الوقت الذي يثقون فيه مع المزيد من المؤسسات بيانات حساسة أكثر من أي وقت مضى.

تشير دراسة جديدة أجراها باحثون في جامعة ويسكونسن ماديسون إلى وجود ثغرات مقلقة في نموذج أمان تطبيقات الجهات الخارجية لكل من Slack و Teams ، والتي تتراوح من عدم مراجعة كود التطبيقات إلى الإعدادات الافتراضية التي تسمح لأي مستخدم تثبيت تطبيق لمساحة عمل كاملة. وعلى الرغم من أن تطبيقات Slack و Teams مقيدة على الأقل بالأذونات التي يسعون للحصول على الموافقة عليها عند التثبيت ، فقد وجد استطلاع الدراسة لهذه الضمانات أن المئات من أذونات التطبيقات ستسمح لهم رغم ذلك بنشر الرسائل كمستخدم ، واختطاف وظائف الآخرين. التطبيقات الشرعية ، أو حتى ، في عدد قليل من الحالات ، تصل إلى المحتوى في القنوات الخاصة عندما لم يتم منح مثل هذا الإذن.

يقول إيرلنس فرنانديز ، أحد الباحثين في الدراسة والذي يعمل الآن كأستاذ لعلوم الكمبيوتر في جامعة كاليفورنيا في سان دييغو ، والذي قدم البحث: “أصبحت Slack و Teams غرف مقاصة لجميع الموارد الحساسة للمؤسسة” الشهر الماضي في مؤتمر USENIX Security. “ومع ذلك ، فإن التطبيقات التي تعمل عليها ، والتي توفر الكثير من وظائف التعاون ، يمكن أن تنتهك أي توقعات للأمان والخصوصية للمستخدمين في مثل هذا النظام الأساسي.”

عندما تواصلت WIRED مع Slack و Microsoft بشأن نتائج الباحثين ، رفضت Microsoft التعليق حتى تتمكن من التحدث إلى الباحثين. (يقول الباحثون إنهم تواصلوا مع Microsoft بشأن النتائج التي توصلوا إليها قبل النشر.) من جانبها ، تقول Slack إن مجموعة من التطبيقات المعتمدة المتوفرة في دليل تطبيقات Slack تتلقى مراجعات أمنية قبل التضمين وتتم مراقبتها بحثًا عن أي سلوك مشبوه . إنها “توصي بشدة” بأن يقوم المستخدمون بتثبيت هذه التطبيقات المعتمدة فقط وأن يقوم المسؤولون بتهيئة مساحات العمل الخاصة بهم للسماح للمستخدمين بتثبيت التطبيقات فقط بإذن من المسؤول. تقول الشركة في بيان: “إننا نأخذ الخصوصية والأمان على محمل الجد ، ونعمل على ضمان أن نظام Slack الأساسي هو بيئة موثوق بها لإنشاء التطبيقات وتوزيعها ، وأن تكون هذه التطبيقات على مستوى المؤسسة منذ اليوم الأول”.

لكن الباحثين يجادلون بأن كلا من Slack و Teams يواجهان مشكلات أساسية في فحصهما لتطبيقات الطرف الثالث. كلاهما يسمح بتكامل التطبيقات المستضافة على الخوادم الخاصة بمطور التطبيق دون مراجعة الشفرة الفعلية للتطبيقات بواسطة Slack أو مهندسي Microsoft. حتى التطبيقات التي تمت مراجعتها لتضمينها في دليل تطبيقات Slack لا تخضع إلا لفحص أكثر سطحية لوظائف التطبيقات لمعرفة ما إذا كانت تعمل كما هو موصوف ، والتحقق من عناصر تكوين الأمان الخاصة بها مثل استخدامها للتشفير ، وتشغيل عمليات المسح الآلي للتطبيقات التي تتحقق منها. واجهات لنقاط الضعف.

على الرغم من توصيات Slack الخاصة ، تسمح كلا منصات التعاون افتراضيًا لأي مستخدم بإضافة هذه التطبيقات المستضافة بشكل مستقل إلى مساحة العمل. يمكن لمسؤولي المؤسسة تشغيل إعدادات أمان أكثر صرامة تتطلب من المسؤولين الموافقة على التطبيقات قبل تثبيتها. ولكن حتى ذلك الحين ، يجب على هؤلاء المسؤولين الموافقة على التطبيقات أو رفضها دون أن يكون لديهم أي قدرة على فحص التعليمات البرمجية الخاصة بهم – والأهم من ذلك ، أن رمز التطبيقات يمكن أن يتغير في أي وقت ، مما يسمح للتطبيق الذي يبدو شرعيًا بأن يصبح تطبيقًا ضارًا. وهذا يعني أن الهجمات يمكن أن تتخذ شكل تطبيقات ضارة متخفية على أنها تطبيقات بريئة ، أو قد يتم اختراق التطبيقات المشروعة حقًا من قبل المتسللين في هجوم سلسلة التوريد ، حيث يقوم المتسللون بتخريب أحد التطبيقات في مصدره في محاولة لاستهداف شبكات مستخدميها. وبدون الوصول إلى الكود الأساسي للتطبيقات ، قد تكون هذه التغييرات غير قابلة للكشف لكل من المسؤولين وأي نظام مراقبة يستخدمه Slack أو Microsoft.