Salah satu bug yang ditemukan di klien Slack yang populer pada chatting yang diaktifkan penyerang untuk membajak akun orang, mengambil kontrol atas semua komunikasi mereka.
Untungnya, masalah telah ditambal atau diperbaiki, sehingga Anda mungkin tertarik dalam memperbarui aplikasi Anda.
cacat ditemukan oleh Frans Rosen, seorang peneliti keamanan dari perusahaan cybersecurity Detectify. Menurut posting blog-nya tentang masalah ini, token Slack orang bisa dicuri dengan menipu orang untuk membuka laman berbahaya.
Rosen menjelaskan bahwa ia melihat masalah ketika ia mengalami kesalahan dalam versi peramban Slack ini yang memungkinkan dia untuk menutup pada panggilan orang lain. cacat lain dalam panggilan memungkinkan peneliti untuk mencegat pesan-pesan yang dikirim ke aplikasi email.
"Sekarang, hanya mengirimkan bahwa mereka telah hilang asal-validasi tidak menyenangkan sama sekali dan akan cenderung tidak menunjukkan mereka beratnya, sebenarnya dari masalah ini. Saya mengeksploitasi lebih baik dengan melihat melalui kode," Rosen menulis.
Jadi, eksploitasi yang dibangun untuk mencuri token Slack lalu membangun sebuah halaman berbahaya yang dirancang untuk menjemput mereka dan menyimpannya. Singkatnya, ketika seseorang membuka halaman berbahaya, panggilan Slack dibuka, memulai WebSocket sebuah menyambung kembali pada server nakal nya.
Meraih token ini dapat digunakan untuk mendapatkan akses ke rekening orang, jadi itu sangat mengkhawatirkan.
"Bountiful bug"
Slack dibayar pada Bug B0unty dari $ 3.000 untuk kerentanan ini dan kemudian sudah ditambal/diperbaiki masalah ini hanya dalam beberapa jam saja.
"Saya mengirim laporan ke Slack pada hari Jumat malam. Mereka menanggapi 33 menit setelah laporan awal saya dan memperbaiki kurang dari 5 jam Menakjubkan," puji peneliti.
Ini bagus untuk melihat respon cepat tersebut untuk kerentanan yang dilaporkan, terutama karena banyak penyerang dapat menemukan cara mereka dalam aplikasi dan mendatangkan malapetaka. Beruntung bagi Slack, kali ini, itu adalah peneliti keamanan mencari bug, dan bukan penjahat cyber.
Artikel Terkait
- India Menjadi Korban Serangan Cyber oleh Hacker
- Skygofree - Spyware Android yg Kuat telah ditemukan
- Peretas yang sedang sibuk ini mengaku bersalah membobol akun Selebritis
- Netgear LAN switch dan nighthawk pro gaming router (XR500) menawarkan perlindungan yang andal terhadap serangan DDoS.
- Kode Malware Satori diposting di Pastebin
- Nintendo beralih hack untuk menjalankan game bajakan
- Cara Hacking Akun Instagram di Android
- Laporan: Nintendo Switch diretas menggunakan Browser Exploit
- Notepad ++ dan VLC Isu update setelah dokumen Vault7 bocor
- 640.000 dekripsi Akun PlayStation Terjual di Dark Web
- Google dan Apple mengatakan pengguna mereka aman terhadap eksploitasi CIA
- 15 Penyerang Kerentanan Teratas Eksploitasi Jutaan Kali untuk Hacking Sistem Linux
- Hacker Iran Menargetkan Beberapa Organisasi Israel
- Uber di Hack
0komentar:
Post a Comment