导读一位安全研究人员发现了Slack中的一个漏洞,该漏洞可能已被利用来窃取业务消息传递应用程序上的文件并可能传播恶意软件。该缺陷涉及Slack的
一位安全研究人员发现了Slack中的一个漏洞,该漏洞可能已被利用来窃取业务消息传递应用程序上的文件并可能传播恶意软件。
该缺陷涉及Slack的Windows桌面应用程序,以及它如何将下载的文件自动发送到特定的目的地-无论是在您的PC上还是在线存储服务器上。您可以在应用的“首选项”部分中设置下载位置。但是,安全公司Tenable的研究人员David Wells注意到,还有另一种配置选项的方法:通过特殊链接。
威尔斯意识到可以滥用相同的功能。想象一下,黑客使用这些链接秘密地重新配置了Slack桌面应用程序,以将所有下载的文件发送到外部服务器。威尔的安全公司Tenable在另一份报告中说:“利用这种攻击媒介,内部人员可以利用此漏洞进行公司间谍活动,操纵或获取其权限范围之外的文件。”