Bezpieczeństwo Slacka: Wykonanie dowolnego kodu i niska nagroda za błąd

Bezpieczeństwo Slacka: Wykonanie dowolnego kodu i niska nagroda za błąd

2020-09-02 14:45 Redakcja

W ostatnich dniach w mediach pojawiły się informacje o poważnym błędzie bezpieczeństwa w aplikacji Slack, który umożliwiał wykonanie dowolnego kodu na komputerze użytkownika. Wystarczyło jedynie kliknąć na odpowiednią wiadomość, aby zainicjować atak.

Aplikacja Slack, oparta na Electronie, działa jak webowa aplikacja udająca aplikację desktopową. W tradycyjnej przeglądarki webowej, JavaScript jest sandboxowany, co zapobiega uruchamianiu nieautoryzowanych kodów. Niestety, w przypadku Electrona istnieje możliwość odwołania się do funkcji z NodeJS, co stwarza luki w bezpieczeństwie.

Co więcej, Slack nie zablokował tych funkcji, co pozwoliło hakerom na uruchomienie np. kalkulatora w systemie ofiary. W odpowiedzi na odkrycie luki, Slack wypłacił bounty w wysokości 1750 dolarów. W społeczności jednak kwota ta została odebrana jako niewystarczająca, co wywołało pewne kontrowersje.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.