На прошлой неделе стали известны подробности нескольких критических уязвимости в мессенджере Slack. Исследователь Оскарс Вегерис нашел способ практически полного взлома корпоративного аккаунта — с утечкой данных, выполнением произвольного кода на компьютере жертвы, возможностью отправки зараженного сообщения другим пользователям и размещения вредоносного скрипта на серверах Slack. 
Атака на десктопное приложение с использованием фреймворка Electron проводится в два этапа: исследователь сначала нашел способ использовать два HTML-тега — area и map, а затем использовал их для загрузки скрипта, выполняющего произвольный код на машине жертвы.
Сценарий выглядит просто: злоумышленник делится файлом, и при нажатии на него выполняется вредоносный код. Альтернативный вариант — кража сеанса пользователя с понятными последствиями: полный доступ к данным корпоративного чата.
Информация об ошибке была передана разработчикам через платформу HackerOne в январе.
В марте самая серьезная часть проблемы — запуск кода — была исправлена, но вендор застопорился еще на полгода, не допуская публикации данных об уязвимости без особых причин.
Два месяца назад в блоге Slack появился пост о необходимости изолировать любой внешний контент: данное нововведение было вызвано, в том числе, обнаруженной уязвимостью.
В целом все закончилось хорошо.За все эти усилия они получили 1750 долларов.
Семнадцатьсот пятьдесят баксов.
@SlackHQ во-первых, недостатки вызывают довольно большую озабоченность, я имею в виду, что проверка сложна, но давайте, тогда заплатите как следует, пожалуйста.
Потому что это будет стоить гораздо больше https://t.co/cqxDDdazqH — Дэниел Катберт (@dcuthbert) 29 августа 2020 г.
Однако примечательна сумма вознаграждения: 1750 долларов за серьезную брешь в безопасности.
Более того, его легко эксплуатировать — достаточно иметь доступ к атакуемому чату.
Поскольку исследователь не публиковал статью сам, а попросил обнародовать тикет на HackerOne, вы можете посмотреть полную переписку независимого специалиста с вендором.
Претензия на столь низкую сумму вознаграждения исходила не от самого исследователя, а от возмущенной общественности.
Да, действительно, продать такую уязвимость законному брокеру уязвимостей было бы дороже.
На черном рынке еще выгоднее.
С другой стороны, Slack, в отличие от более крупных компаний, не обещает больших денег: у них прямо на странице bug bounty указан потолок в $1500. Так что дело не только в деньгах: даже сейчас, когда у большинства вендоров есть программы вознаграждения за поиск ошибок, выбор «на чьей стороне быть» все равно остается.
Что еще произошло
На прошлой неделе было много дискуссий пытаться подкупить сотрудника Tesla для внедрения вредоносного кода во внутреннюю сеть.
Но была и другая история, связанная с производителем электромобилей, о возможности удаленного управления любым автомобилем Tesla из-за ошибки в серверной инфраструктуре.
Ошибка старая, 2017 года, но со свежими подробности и даже технический отчет. Специалисты Фонда электронных границ критиковать наблюдение за студентами во время сдачи важных экзаменов, распространенное во время самоизоляции.
В статье описаны функции программного обеспечения, служащего схожим целям и мало чем отличающегося от шпионского ПО.
Уязвимость в браузере Safari позволяет воровать пользовательские файлы.
При этом в программе bug bounty тоже есть спорный момент: специалисты Apple признали наличие бага, но пообещали закрыть его весной 2021 года, почти через год после уведомления.
Еще одна критическая уязвимость закрыто уже в браузере Chrome. компания Фейсбук предупреждает рекламным партнерам, что нововведения в iOS 14 усложнят профилирование пользователей для показа релевантной рекламы.
Речь идет о запрете использования единого рекламного идентификатора устройства, если того пожелает владелец устройства.
Теги: #информационная безопасность #Slack
-
Экономические Показатели (Показатели)
19 Oct, 24 -
Кювье, Жорж
19 Oct, 24 -
«Это Приложение Уничтожило Наличные».
19 Oct, 24 -
Rfid Увч Инвентарь. Как Найти Все Теги?
19 Oct, 24 -
5-Й Харьковский Open
19 Oct, 24
