Ένα bug που βρέθηκε στο δημοφιλές work chat Slack επέτρεψε στους επιτιθέμενους να επισκιάσουν τους λογαριασμούς των ανθρώπων, αναλαμβάνοντας τον έλεγχο όλων των επικοινωνιών τους. Ευτυχώς το πρόβλημα έχει επιδιορθωθεί.

Το ελάττωμα ανακαλύφθηκε από τον Frans Rosen, έναν ερευνητή ασφαλείας από την εταιρεία ασφαλείας του κυβερνοχώρου Detectify. Σύμφωνα με το blog του για το θέμα, τα tokens των ανθρώπων του Slack θα μπορούσαν να κλαπούν από την εξαπάτηση των ανθρώπων σε άνοιγμα κακόβουλων ιστοσελίδων.

Ο Rosén εξηγεί ότι πρό(-)ε το πρόβλημα όταν αντιμετώπισε ένα glitch στην έκδοση του browser του Slack, το οποίο του επέτρεπε να κάνει hang up στις κλήσεις των άλλων ανθρώπων. Ένα άλλο ελάττωμα στην κλήση επέτρεψε στον ερευνητή να υποκλέψει τα μηνύματα που αποστέλλονται με την εφαρμογή Mail.

«Τώρα απλά υποβάλλοντας ότι έλειπε μια σειρά origin-validation δεν είναι αστείο καθόλου και πιθανότατα δεν τους έδειχνε την σοβαρότητα του προβλήματος. Έπρεπε να καταλήξω σε ένα καλύτερο σενάριο για να κοιτάξω μέσα από τον κώδικα» γράφει ο Rosén.

Έτσι ένα exploit χτίστηκε για να κλέψουν τα Slack tokens με την οικοδόμηση μιας κακόβουλης σελίδας σχεδιασμένη για να τους πάρει και να τους αποθηκεύσει. Με λίγα λόγια όταν κάποιος άνοιξε την κακόβουλη σελίδα μια Slack κλήση άνοιξε, βάζοντας μια WebSocket να επανασυνδεθεί για τους αδίστακτους server.

Αρπάζοντας αυτά τα tokens που θα μπορούσαν να χρησιμοποιηθούν για την απόκτηση πρόσβασης στους λογαριασμούς των ανθρώπων οπότε είναι εξίσου ανησυχητικό.

Είναι ωραίο να βλέπεις τέτοιες ταχείες απαντήσεις, ανέφεραν τα τρωτά σημεία, ιδίως δεδομένου ότι τα φορτία των επιτιθέμενων θα μπορούσαν να βρουν τρόπους μέσα στις εφαρμογές να σπείρουν το όλεθρο. Ευτυχώς για την Slack αυτή τη φορά ένας ερευνητής ασφαλείας ψάχνει για σφάλματα και όχι ο ποινικός κυβερνοχώρος.

Πηγή: SecNews.gr

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις