のようなコラボレーション アプリ Slack と Microsoft Groups は、メッセージングからスケジューリング、ビデオ会議ツールまで、あらゆるものでユーザーを結びつける、現代の職場の結合組織になりました。 しかし、Slack と Teams が企業の生産性向上のための本格的なアプリ対応オペレーティング システムになるにつれて、ある研究者グループは、サードパーティ プログラムにさらされることの重大なリスクを指摘しました。同時に、より多くの組織から信頼されるようになりました。 ‘ これまで以上に機密データ。
ウィスコンシン大学マディソン校の研究者による新しい調査では、Slack と Teams の両方のサードパーティ製アプリ セキュリティ モデルの厄介なギャップが指摘されています。ワークスペース全体にアプリをインストールします。 また、Slack と Groups のアプリは、インストール時に承認を求める権限によって少なくとも制限されていますが、これらのセーフガードに関する調査では、何百ものアプリの権限により、ユーザーとしてメッセージを投稿したり、他のアプリの機能をハイジャックしたりする可能性があることがわかりました。正当なアプリ、または少数のケースでさえ、そのような許可が与えられていないプライベート チャネルのコンテンツにアクセスします。
「Slack と Groups は、組織のすべての機密リソースのクリアリングハウスになりつつあります」と、この研究の研究者の 1 人で、現在はカリフォルニア大学サンディエゴ校でコンピューター サイエンスの教授として働いており、研究を発表した Earlence Fernandes は言います。先月のUSENIX Securityカンファレンスで。 「それでも、多くのコラボレーション機能を提供するそれらで実行されているアプリは、そのようなプラットフォームでのユーザーのセキュリティとプライバシーに対する期待を裏切る可能性があります。」
WIRED が研究者の調査結果について Slack と Microsoft に連絡を取ったとき、Microsoft は研究者と話すことができるまでコメントを拒否しました。 Slack は、Slack App ディレクトリで利用できる承認済みアプリのコレクションは、含める前にセキュリティ レビューを受け、疑わしい動作がないか監視されていると述べています。 . ユーザーがこれらの承認されたアプリのみをインストールし、管理者がワークスペースを構成して、ユーザーが管理者の許可を得てのみアプリをインストールできるようにすることを「強く推奨」します。 同社は声明の中で、「私たちはプライバシーとセキュリティを非常に真剣に受け止めています」と述べています。
しかし、Slack も Groups も、サードパーティ製アプリの審査において根本的な問題を抱えている、と研究者は主張しています。 どちらも、Slack または Microsoft エンジニアによるアプリの実際のコードのレビューなしで、アプリ開発者自身のサーバーでホストされているアプリの統合を可能にします。 Slack の App ディレクトリに含めるためにレビューされたアプリでさえ、アプリの機能のより表面的なチェックのみを受けて、説明どおりに機能するかどうかを確認し、暗号化の使用などのセキュリティ構成の要素をチェックし、自動アプリ スキャンを実行して、脆弱性のためのインターフェース。
Slack 独自の推奨事項にもかかわらず、デフォルトでは両方のコラボレーション プラットフォームで、ユーザーはこれらの個別にホストされたアプリをワークスペースに追加できます。 組織の管理者は、管理者がアプリをインストールする前に承認する必要がある、より厳格なセキュリティ設定をオンにすることができます。 しかし、その場合でも、それらの管理者はアプリを承認または拒否する必要があり、コードを精査することもできません。さらに重要なことに、アプリのコードはいつでも変更される可能性があり、一見正当なアプリが悪意のあるアプリになる可能性があります。 つまり、攻撃は無実のアプリを装った悪意のあるアプリの形をとるか、真に正当なアプリがサプライ チェーン攻撃でハッカーによって侵害される可能性があります。サプライ チェーン攻撃では、ハッカーがユーザーのネットワークを標的にしようとして、ソースでアプリケーションを妨害します。 また、アプリの基盤となるコードにアクセスできないため、これらの変更は、管理者だけでなく、Slack や Microsoft が使用する監視システムにも検出されない可能性があります。