Durch die Installation von Drittanbieteranwendungen in die Kommunikations-Apps Slack und Mircosoft Teams kann es für Unternehmen Sicherheitsprobleme geben. Forscher:innen der Universität Wisconsin-Madison haben mehrere Schwachstellen beim Umgang mit Daten zwischen den Kommunikations-Apps und Anwendungen von Drittanbietern festgestellt. Die Ergebnisse haben sie in einer Studie veröffentlicht.
Sicherheitsrisiko durch mangelnde App-Prüfung
Ein Sicherheitsrisiko ist die mangelnde Überprüfung von Drittanbieter-Apps bei Slack und Teams. Der Code dieser externen Apps, die auf den Servern der App-Entwickler gehostet werden, wird nicht durch die Kommunikationsanbieter geprüft. Zudem könne der Code der installierten App im Nachhinein geändert werden: Eine anfangs scheinbar harmlose App kann damit eine Sicherheitsbedrohung werden.
Ist die Drittanbieteranwendung erst mal bei Slack oder Teams installiert, kann sie auch ein ungewolltes Eigenleben entwickeln. Manche Apps holen sich zum Beispiel die Berechtigung ein, im Namen der Nutzer:innen Inhalte zu posten. Das kann missbraucht werden: Das betroffene Konto würde dann ohne Willen des:der eigentlichen Nutzer:in Inhalte veröffentlichen.
Befehle können überschrieben werden
Ein weiteres Risiko: Befehle können überschrieben werden. Mit der Eingabe von „/zoom“ könnte ein Videocall gestartet werden – Drittanbieter-Apps könnten diesen Befehl ändern. Zoom würde vielleicht trotzdem starten und im Hintergrund unbemerkt aufgezeichnet werden. Slack hat dafür eine Warnmeldung herausgegeben. Diese erscheint jedoch nur bei der App-Installation.
Installieren kann Anwendungen bei Slack und Teams in der Regel jede:r – mit den Standardeinstellungen können alle eine Drittanbieter-App für einen gesamten Arbeitsbereich installieren. Administrator:innen können unternehmensintern zwar die Installation generell unterbinden und sie genehmigungspflichtig machen – auch dann haben sie jedoch nicht die Möglichkeit, den Code zu überprüfen.
Slack prüft Apps – aber nicht ihren Code
Slack hat zwar ein App-Verzeichnis, aber auch die dort enthaltenen Apps wurden nicht hinsichtlich ihres Codes überprüft. Bei dem Test wurde laut Wired die Funktionsweise oder die Verwendung von Verschlüsselungen überprüft. Das sagte Slack gegenüber dem Portal auf Nachfrage nach der Studie.
Die Ergebnisse der Studie wurden laut den Forscher:innen Slack und Microsoft vorgelegt. Auf die diesbezügliche Wired-Anfrage antwortete Mircosoft, die Erkenntnisse erst mit den Forscher:innen besprechen zu wollen.
Grundlegendes Problem: Hosting auf Drittanbieterservern
Die Kommunikations-Apps Slack und Microsoft Teams haben sich – besonders während der Corona-Pandemie – zu beliebten Tools im Arbeitsalltag entwickelt. Auch sensible Daten werden darüber geteilt. Sicherheitsprobleme sind daher umso schwerwiegender. Laut den Forscher:innen lassen sich manche der genannten Risiken relativ leicht beheben. Ein grundlegendes Problem bleibt jedoch, wie Informatikprofessor Andrei Sabelfeld, der die Arbeit überprüfte, feststellte: das Hosting auf den Servern der Drittanbieter.