Teams e Slack: poca sicurezza per app di terze parti

Teams e Slack: poca sicurezza per app di terze parti

Microsoft Teams e Slack permettono l'installazione di app, ospitate su server di terze parti, che possono rappresentare un pericolo per la sicurezza.
Microsoft Teams e Slack permettono l'installazione di app, ospitate su server di terze parti, che possono rappresentare un pericolo per la sicurezza.

Un team di ricercatori della University of Wisconsin-Madison ha evidenziato i rischi per sicurezza rappresentati dalle app di terze parti che possono essere installate in Microsoft Teams e Slack. Gli amministratori hanno il controllo delle app, ma non possono sapere se nascondono malware che raccolgono informazioni sensibili. Gli autori della ricerca suggeriscono anche possibili soluzioni.

App di terze parti troppo pericolose

Teams e Slack sono complete piattaforme di collaborazione aziendale che permettono di eseguire numerose operazioni (chat, videoconferenze, condivisione dei file e altre). Entrambe consentono di sfruttare le funzionalità offerte dalle app di terze parti che possono essere aggiunte dagli utenti allo spazio di lavoro. Oltre a quelle pubblicate sui rispettivi store (AppSource e App Directory) è possibile installare anche quelle ospitate sui server degli sviluppatori.

Ovviamente l’installazione deve essere approvata dall’amministratore, ma non possono esaminare il codice. Inoltre il comportamento delle app potrebbe cambiare con un successivo aggiornamento. Un’app innocua diventa così un mezzo per eseguire attività pericolose sui computer e la rete aziendale. Microsoft scrive che non controlla la sicurezza e il rispetto della privacy delle app di terze parti.

I ricercatori sottolineano che il problema principale è rappresentato dai permessi. Molte app chiedono di eseguire azioni per conto dell’utente o lanciare altre app. Ciò consente di effettuare attacchi di phishing, leggere i messaggi e intercettare le comunicazioni. Alcune app per Slack possono anche accedere ai canali privati.

Sia Microsoft che Slack affermano che non si tratta di vulnerabilità di sicurezza, in quanto è necessario l’intervento degli utenti. Il compito di bloccare le app spetta agli amministratori. I ricercatori forniscono alcune possibili contromisure, ma cambierà poco se le app possono essere ospitate su server di terze parti.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Wired
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 set 2022
Link copiato negli appunti