Aplicativos de colaboração como Slack e Microsoft Teams tornaram-se o tecido conjuntivo do local de trabalho moderno, unindo usuários com tudo, desde mensagens até agendamento e ferramentas de videoconferência. Mas, à medida que o Slack e o Teams se tornam sistemas operacionais de produtividade corporativa completos e habilitados para aplicativos, um grupo de pesquisadores apontou sérios riscos no que expõem a programas de terceiros – ao mesmo tempo em que são confiados a mais organizações ‘ dados sensíveis do que nunca.
Um novo estudo de pesquisadores da Universidade de Wisconsin-Madison aponta para lacunas preocupantes no modelo de segurança de aplicativos de terceiros do Slack e do Teams, que vão desde a falta de revisão de o código dos aplicativos para as configurações padrão que permitem que qualquer usuário instale um aplicativo para um workspace inteiro. E embora os aplicativos Slack e Teams sejam pelo menos limitados pelas permissões para as quais buscam aprovação na instalação, a pesquisa do estudo dessas salvaguardas descobriu que centenas de permissões de aplicativos permitiriam que eles postassem mensagens como usuário, sequestrando a funcionalidade de outros aplicativos legítimos, ou mesmo, em alguns casos, acessar conteúdo em canais privados quando tal permissão não foi concedida.
“Slack e Teams estão se tornando câmaras de compensação de todos os recursos”, diz Earlence Fernandes, um dos pesquisadores do estudo que agora trabalha como professor de ciência da computação na Universidade da Califórnia em San Diego, e que apresentou a pesquisa no mês passado na conferência USENIX Security. “E, no entanto, os aplicativos executados neles, que fornecem muitas funcionalidades de colaboração, podem violar qualquer expectativa de segurança e privacidade que os usuários teriam em tal plataforma.”
Quando WIRED entrou em contato com o Slack e a Microsoft sobre as descobertas dos pesquisadores, a Microsoft se recusou a comentar até que pudesse falar com os pesquisadores. (Os pesquisadores dizem que se comunicaram com a Microsoft sobre suas descobertas antes da publicação.) O Slack, por sua vez, diz que uma coleção de aplicativos aprovados que está disponível em seu Slack App Directory recebe análises de segurança antes da inclusão e é monitorada quanto a qualquer comportamento suspeito . Ele “recomenda fortemente” que os usuários instalem apenas esses aplicativos aprovados e que os administradores configurem seus workspaces para permitir que os usuários instalem aplicativos apenas com a permissão de um administrador. “Levamos a privacidade e a segurança muito a sério”, diz a empresa em comunicado, “e trabalhamos para garantir que a plataforma Slack seja um ambiente confiável para criar e distribuir aplicativos, e que esses aplicativos sejam de nível empresarial desde o primeiro dia”.
Mas tanto o Slack quanto o Teams têm problemas fundamentais na verificação de aplicativos de terceiros, argumentam os pesquisadores. Ambos permitem a integração de aplicativos hospedados nos próprios servidores do desenvolvedor do aplicativo sem revisão do código real dos aplicativos pelos engenheiros do Slack ou da Microsoft. Mesmo os aplicativos analisados para inclusão no Diretório de aplicativos do Slack passam por uma verificação mais superficial da funcionalidade dos aplicativos para ver se eles funcionam conforme descrito, verificam elementos de sua configuração de segurança, como o uso de criptografia, e executam verificações automatizadas de aplicativos que verificam seus interfaces para vulnerabilidades.
Apesar das recomendações do próprio Slack, ambas as plataformas de colaboração por padrão permitem que qualquer usuário adicione esses aplicativos hospedados independentemente a um espaço de trabalho. Os administradores de uma organização podem ativar configurações de segurança mais rígidas que exigem que os administradores aprovem os aplicativos antes de serem instalados. Mas, mesmo assim, esses administradores devem aprovar ou negar aplicativos sem que eles próprios tenham a capacidade de verificar seu código – e, crucialmente, o código dos aplicativos pode mudar a qualquer momento, permitindo que um aplicativo aparentemente legítimo se torne um mal-intencionado. Isso significa que os ataques podem assumir a forma de aplicativos maliciosos disfarçados de inocentes, ou aplicativos verdadeiramente legítimos podem ser comprometidos por hackers em um ataque à cadeia de suprimentos, no qual hackers sabotam um aplicativo em sua origem em um esforço para atingir as redes de seus usuários. E sem acesso ao código subjacente dos aplicativos, essas alterações podem ser indetectáveis para os administradores e qualquer sistema de monitoramento usado pelo Slack ou pela Microsoft.
