Teams und Slack lassen die Tür für Cyberattacken offen
Microsoft Teams und Slack sind anfällig für Cyberangriffe über Drittanbieterapps. Zu diesem Schluss kommt eine Studie der Universität Wisconsin.
Eine Studie von Forschenden der University of Wisconsin-Madison weist auf Lücken im Sicherheitsmodell der Drittanbieter-Apps von Slack und Teams hin. Dies berichtet das Tech-Portal "Wired".
Diese Schwachstelle kann von einer fehlenden Überprüfung des App-Codes bis hin zu Standardeinstellungen reichen, die es jedem Benutzer ermöglichen, eine App für einen gesamten Arbeitsbereich zu installieren.
Wenngleich Slack- und Teams-Apps zumindest durch die Berechtigungen, die sie bei der Installation einholen, eingeschränkt sind, ergab die Untersuchung dieser Sicherheitsvorkehrungen, dass die Berechtigungen von Hunderten von Apps es ihnen dennoch erlauben würden, potenziell Nachrichten als Benutzer zu posten, die Funktionen anderer legitimer Apps zu kapern oder in einer Handvoll von Fällen sogar auf Inhalte in privaten Kanälen zuzugreifen, obwohl keine solche Berechtigung erteilt wurde.
Beide erlauben die Integration von Apps, die auf den eigenen Servern des App-Entwicklers gehostet werden, ohne dass der eigentliche Code der Apps von Slack- oder Microsoft-Ingenieuren überprüft wird.
"Im Vergleich zu iOS oder Android würde ich sagen, dass ihr Sicherheitsmodell mindestens fünf bis sechs Jahre hinterherhinkt", sagt Yunang Chen, Forscher an der University of Wisconsin, über Slack und Teams.
Simple Lösungen
Einige der Probleme, die die Forscher in Slack und Teams identifiziert haben - wie die Fähigkeit der Apps, die Startbefehle anderer Apps zu überschreiben und Nachrichten in privaten Kanälen zu lesen - könnten mit relativ einfachen Patches behoben werden, sagt Andrei Sabelfeld, ein Informatikprofessor an der Chalmers University of Technology in Schweden, der die Arbeit der Forscher überprüft hat.
Wenn die Slack- und Teams-Anwendungen jedoch weiterhin auf Servern von Drittanbietern gehostet werden, bleibt das darunterliegende Problem bestehen. "Es gibt keine Möglichkeit, Rechenschaft darüber abzulegen, was die Entwickler tun", sagt Sabelfield. "Das weist auf eine grundlegende Spannung hin: Der Code befindet sich ausserhalb ihrer Kontrolle."
Demnach würde es eine echte Lösung erfordern, dass Slack und Microsoft ihr App-Modell grundlegend überarbeiten, um es mehr an traditionelle Betriebssysteme anzugleichen, die den Code von Apps sorgfältig prüfen, diesen Code auf Änderungen überwachen und die Berechtigungen, die Apps gewährt werden, streng durchsetzen.
Übrigens: Im August setzte Slack die Passwörter von hunderttausenden Nutzern zurück. Dies als Sicherheitsmassnahme, nachdem eine potenzielle Schwachstelle gefunden wurde, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.