ALERTAS | Noticias | 03 MAR 2017

Un investigador de seguridad diseña un 'hack' para Slack

El problema radica en el API de postMessage que la aplicación de chat utiliza para intercambiar datos entre las ventanas del navegador.
Slack
Redacción

Un error en Slack, la popular aplicación de chat de trabajo, fue suficiente para que un investigador de seguridad, Frans Rosen, diseñara un hack que pudiera engañar a los usuarios para que entregasen el acceso a sus cuentas. Rosen explicó que pudo lograrlo debido a un fallo en la forma en que la aplicación comunica los datos en el navegador de Internet. "Slack se saltó un paso importante al usar una tecnología llamada postMessage", aseguró.

PostMessage es un tipo de comando que permite que las ventanas del navegador se comuniquen entre sí. En Slack, se utiliza siempre que la aplicación de chat abre una nueva ventana para habilitar una llamada de voz. Según Rosen, la aplicación que utiliza postMessage valida el origen de todos los datos intercambiados entre ventanas separadas para mantener el proceso seguro; sin embargo, Slack no lo estaba haciendo.

Pero ¿y si una de esas ventanas es un impostor? Eso es lo que  hizo Rosen a través de una página web maliciosa con el objetivo de secuestrar la aplicación Slack. El hack fue demostrado por el investigador de seguridad en un vídeo. La página web maliciosa abrirá una ventana Slack que obligará a la cuenta de la víctima a transferir su identidad de acceso.

Afortunadamente, Slack ha solucionado el problema. La compañía ha encontrado después de una investigación exhaustiva que el defecto nunca fue usado. "Para trabajar de forma segura con postMessage, siempre es necesario verificar el origen de cada mensaje", agregó Rosen.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información