Por que um bug no Slack poderia ter sido seu pior pesadelo?

slack-chatSe hoje você acordou se sentindo meio pra baixo, vai se sentir pior ao se lembrar que você compartilha seus segredos mais íntimos, desde alguns segredos de propriedade intelectual da sua empresa, até os problemas digestivos do seu cachorro em um chat on-line. Já imaginou como você se sentiria se esses segredos fossem revelados? Mesmo os aplicativos que levam a segurança do usuário a sério e investem em teste de software podem ser violados. Você está se sentindo muito mal agora? Talvez você devesse ficar aliviado por não ter tido as suas conversas e todos os seus segredos expostos na internet devido a uma falha do seu aplicativo de mensagens.

O hack

Recentemente, o Slack divulgou uma vulnerabilidade do seu aplicativo web. Frans Rosén, desenvolvedor da empresa de segurança na internet Detectify, apresentou a falha ao programa de recompensas do Slack (que estimula desenvolvedores a encontrarem potenciais bugs no aplicativo) em meados de fevereiro. Se explorada, a vulnerabilidade poderia permitir que um invasor fizesse login em uma conta do Slack como se fosse seu legítimo dono. A partir daí, o invasor teria acesso total ao histórico de bate-papos, arquivos compartilhados e a quaisquer grupos de bate-papos que o usuário já teve acesso. O que não é nada, nada, bom!

Uma falha na configuração de como o Slack se comunica com outros domínios da internet foi a causa do bug. Quando um site tenta acessar e se comunicar com outro, alguns componentes desse site podem ser limitados para que eles não compartilhem automaticamente todas as informações um com o outro. Para coordenar o compartilhamento de recursos adequados, alguns sites usam interfaces com a função PostMessage e com o protocolo WebSocket para se comunicarem.

Rosén foi capaz de criar uma página da Web capaz de manipular esses mecanismos. Caso um usuário Slack clicasse na página maliciosa feita por Rosén, ele imediatamente teria seus dados copiados. Uma vez que um invasor roubasse uma chave de sessão ativa, seria capaz de acessar a conta de um usuário Slack, e agir como se o usuário tivesse entrado voluntariamente com seu username e senha. Mesmo um site criptografado não é imune ao ataque, porque permite que o invasor se passe por um legítimo usuário do aplicativo.

Uma vez alertado por Rosén, o Slack prometeu corrigir a vulnerabilidade imediatamente e também se dedicou a encontrar provas de que o bug pudesse já ter sido explorado por algum invasor malicioso. Felizmente, a busca não encontrou invasões. "Esse bug foi encontrado porque estimulamos e investimos em recompensar todos que descobrirem um bug no nosso aplicativo", disse um porta-voz da empresa. "Os recursos intelectuais das comunidades de desenvolvedores que colaboram com o Slack são inestimáveis para manter o serviço seguro para todos."

Quem foi afetado?

Provavelmente ninguém, dada a rapidez com que o Slack corrigiu a vulnerabilidade e fez a inspeção dos logins dos usuários. A empresa conta com mais 4 milhões de usuários ativos, que usam o aplicativo para ficarem em dia com as últimas fofocas. Uma vez que essa vulnerabilidade permitiria que um invasor obtivesse acesso total à conta de um usuário e total controle sobre ela (contanto que a sessão permanecesse válida), muitos dados valiosos estavam potencialmente em risco. E Rosén demonstrou que mesmo se o Slack tivesse implementado a criptografia completa dos dados do usuário, o que não oferece atualmente, não teria protegido os usuários desse ataque em particular.

slack

Por que divulgar esse bug?

Uma das razões para divulgar esse bug, de acordo com Rosén, é a necessidade de aumentar a conscientização sobre esse tipo de vulnerabilidade do WebSocket e do PostMessage. "Eu vi uma tendência", disse Rosén. "E queria mostrar um bom exemplo do quão vulnerável um aplicativo pode estar". No entanto, as condições que permitem esse tipo de ataque não estão presentes em todos os aplicativos da web e também podem ser facilmente evitáveis na maioria dos casos.

É por isso que aprender com esse tipo de incidente é crucial. "Nem todo aplicativo é vulnerável a esse problema, mas é importante estar atento", diz Alex McGeorge, chefe da empresa Immunity Inc. "Podem existir outras vulnerabilidades como essas".

Se nada de ruim aconteceu com você hoje (além do mau humor matinal), tome esse bug como um lembrete valioso de que tudo o que você diz num chat on-line pode não permanecer confidencial para sempre. Na verdade, é melhor assumir que não.

Esse conteúdo é uma tradução. Conteúdo original publicado em: https://www.wired.com/2017/03/hack-brief-slack-bug-everyones-worst-office-nightmare/

Para saber mais sobre como um bug no aplicativo da sua empresa pode se tornar um pesadelo, continue lendo o Blog da Base2.

About Contentools