Un team di ricercatori della University of Wisconsin-Madison ha evidenziato i rischi per sicurezza rappresentati dalle app di terze parti che possono essere installate in Microsoft Teams e Slack. Gli amministratori hanno il controllo delle app, ma non possono sapere se nascondono malware che raccolgono informazioni sensibili. Gli autori della ricerca suggeriscono anche possibili soluzioni.
App di terze parti troppo pericolose
Teams e Slack sono complete piattaforme di collaborazione aziendale che permettono di eseguire numerose operazioni (chat, videoconferenze, condivisione dei file e altre). Entrambe consentono di sfruttare le funzionalità offerte dalle app di terze parti che possono essere aggiunte dagli utenti allo spazio di lavoro. Oltre a quelle pubblicate sui rispettivi store (AppSource e App Directory) è possibile installare anche quelle ospitate sui server degli sviluppatori.
Ovviamente l’installazione deve essere approvata dall’amministratore, ma non possono esaminare il codice. Inoltre il comportamento delle app potrebbe cambiare con un successivo aggiornamento. Un’app innocua diventa così un mezzo per eseguire attività pericolose sui computer e la rete aziendale. Microsoft scrive che non controlla la sicurezza e il rispetto della privacy delle app di terze parti.
I ricercatori sottolineano che il problema principale è rappresentato dai permessi. Molte app chiedono di eseguire azioni per conto dell’utente o lanciare altre app. Ciò consente di effettuare attacchi di phishing, leggere i messaggi e intercettare le comunicazioni. Alcune app per Slack possono anche accedere ai canali privati.
Sia Microsoft che Slack affermano che non si tratta di vulnerabilità di sicurezza, in quanto è necessario l’intervento degli utenti. Il compito di bloccare le app spetta agli amministratori. I ricercatori forniscono alcune possibili contromisure, ma cambierà poco se le app possono essere ospitate su server di terze parti.