یک آسیبپذیری در کارخواهِ گفتگوی کاری Slack کشف شده که مهاجمان را قادر میسازد حسابهای کاربری افراد را به سرقت برده و کنترل کاملی بر روی ارتباطات انجامشده در آن داشته باشند. خوشبختانه این آسیبپذیری وصله شده و شما میتوانید برنامههای خود را بهروزرسانی کنید.
این آسیبپذیری توسط یکی از محققان شرکت Detectify با نام فرانس روسن کشف شده است. به گزارش روسن، با وادار کردن کاربر برای بازدید از صفحات مخرب، مهاجمان میتوانند رمزوارههای Slack افراد را به سرقت ببرند.
روسن توضیح میدهد زمانی که میخواست با استفاده از مرورگرهای نسخهی Slack تماسهای سایر افراد را قطع کند، خودش با قطعی مواجه شده و متوجه شده مشکلی وجود دارد. یک آسیبپذیری دیگر که در بخش تماسها وجود داشت به این محقق اجازه میداد تمامی پیامهایی که به برنامههای رایانامهای ارسال میشد را شنود کند.
روسن یک کد بهرهبرداری را توسعه داده که با استفاده از آن میتوان از طریق صفحات وب مخرب، رمزوارههای Slack را به سرقت برده و آنها را ذخیره کرد. بهطور خلاصه، زمانیکه کاربر یک صفحهی مخرب را باز میکند، تماس Slack باز میشود و یک WebSocket تلاش میکند او را به یک کارگزار مخرب متصل کند.
مهاجمان با بدست آوردن این رمزوارهها میتوانند به حسابهای کاربری افراد دست یابند و این موضوع بسیار نگرانکننده است. Slack برای گزارش این آسیبپذیری ۳ هزار دلار پاداش پرداخت کرد و در مدت چند ساعت آن را وصله نمود. این محقق میگوید: «من تقریباً عصر روز جمعه، گزارش آسیبپذیری را برای Slack ارسال کردم. آنها دقیقاً ۳۳ دقیقه پس از گزارش اولیه به من پاسخ دادند و آسیبپذیری در عرض ۵ ساعت وصله شد. این واقعاً شگفتانگیز است.»
منبع: asis
درباره نماد امنیت وب
کانال اخبار فناوری اطلاعات نماد امن
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.