Un investigador de seguridad diseña un 'hack' para Slack
El problema radica en el API de postMessage que la aplicación de chat utiliza para intercambiar datos entre las ventanas del navegador.
Un error en Slack, la popular aplicación de chat de trabajo, fue suficiente para que un investigador de seguridad, Frans Rosen, diseñara un hack que pudiera engañar a los usuarios para que entregasen el acceso a sus cuentas. Rosen explicó que pudo lograrlo debido a un fallo en la forma en que la aplicación comunica los datos en el navegador de Internet. "Slack se saltó un paso importante al usar una tecnología llamada postMessage", aseguró.
PostMessage es un tipo de comando que permite que las ventanas del navegador se comuniquen entre sí. En Slack, se utiliza siempre que la aplicación de chat abre una nueva ventana para habilitar una llamada de voz. Según Rosen, la aplicación que utiliza postMessage valida el origen de todos los datos intercambiados entre ventanas separadas para mantener el proceso seguro; sin embargo, Slack no lo estaba haciendo.
Pero ¿y si una de esas ventanas es un impostor? Eso es lo que hizo Rosen a través de una página web maliciosa con el objetivo de secuestrar la aplicación Slack. El hack fue demostrado por el investigador de seguridad en un vídeo. La página web maliciosa abrirá una ventana Slack que obligará a la cuenta de la víctima a transferir su identidad de acceso.
Afortunadamente, Slack ha solucionado el problema. La compañía ha encontrado después de una investigación exhaustiva que el defecto nunca fue usado. "Para trabajar de forma segura con postMessage, siempre es necesario verificar el origen de cada mensaje", agregó Rosen.
