Slack, bulut tabanlı bir ekip iş birliği uygulamasıdır. Kanadalı geliştirici Stewart Butterfield tarafından kurulmuştur. Yurt dışında yaygın olarak kullanılan Slack uygluamasıyla her projeye ayrı grup/kanal oluşturarak düzenli bir çalışma ortamı yaratabilirsiniz. Slack uygulamasının temellerini gruplar oluşturur.  Çalıştığınız sektöre göre; performans verileri, destek çekleri, bütçe onayları, kod incelemeleri, satış fırsatları, hata raporları, basın liderleri gibi işler tek sayfada akar ve bu sayfayı kanalda ekli olan herkes görebilir.

Başlıca iş tarafından düzenlenen yazışma aşaması olan Slack’in çalışma alanı kullanımında inanılmaz derecede güvenlik açığı bulundu.  Şu an itibariyle düzeltilen zayıflık, programcıların PC’lere ulaşmasına izin veriyordu.

 Günümüzün en yaygın iş odaklı  düzenlenmiş yazışma platformlarından biri olan Slack’te kritik bir güvenlik zafiyeti bulunduğu bildirildi.  Temel olarak telaffuz edilen zayıflık, programcıların Slack’in çalışma alanı uygulamasını kullanan istemcilerin bilgisayarlarına ulaşmasına izin verdi.

 Zayıflık, Slack’in kendi güvenlik grubu tarafından değil;  Yabancı güvenlik uzmanları tarafından bulundu.  Uzak kod yürütülmesine izin vermedeki zayıflık, herhangi bir programcının sınıflandırılmış belgelere, parolalara, web sistemine erişmesine izin verecek kadar kritikti ve bu sadece başlangıç. 

Açığı Keşfeden Hacker’a Yalnızca 1.750 Dolar Ödül Verildi:

HackerOne’da yayınlanan zayıflık Slack tarafından giderildi ve tehlike artık yoktu.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Hatayı ortaya çıkaran müşteriye Slack tarafından verilen ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğini mızmızlandı.  HackerOne’da yayınlanan güvenlik zafiyeti Slack tarafından giderildi ve tehlike ortadan kaldırıldı.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Slack’in hatayı duyuran müşteriye verdiği ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğinden şikayet ettiler.  PC güvenliğine meraklı çok sayıda müşteri Slack’e yakındı ve 20 milyar dolarlık Slack’in müşteriye sadece 1.750 dolar verdiğini ifade etti.  Müşteriler, benzer bir uzman özel sektöre ait bir işletmeye benzer bir hata duyurursa, bu organizasyonun analiste sayısız dolar vermiş olabileceğini söyledi.

 Slack’in HackerOne’daki sayfasındaki verilerde belirtildiği gibi, bulunan saldırı türü olan ‘uzak kod yürütme’ saldırılarını içeren ‘temel’ sınıflandırma yenilendi.  Güncelleme ile ödül 5.000 $ ‘a yükseldi.  Slack, son 90 günde zayıflığı bulan müşterilere 36,375 dolar ödedi.

Araştırmacılar, 7 gün boyunca Qualcomm ‘un Snapdragon 400’den fazla zayıflığı önemli ölçüde kötüye kullanarak bir milyar veya daha fazla. Android öğesinin casus donanıma dönüşmesine neden olabilecek bilgisayar korsanlarına karşı çaresiz kaldığını belirtti.

Güvenlik açıklarından, çip tarafından gönderilen bir video klibi  veya başka bir maddenin indirilmesine dikkat edildiğinde kötüye kullanılabilir. Hiçbir izin içermeyen yıkıcı uygulamalar yüklenerek de hedeflere saldırılabilir.

 Bu noktadan itibaren, saldırganlar bölgeleri kontrol edebilir ve gerçek zamanda sesle kapatmak için ayarlayabilir ve çekim ve filmlerden sızabilir.  Gayretler aynı şekilde cep telefonunu tamamen uyuşuk hale getirmeyi mümkün kılar.  Hastalıklar, genel olarak sterilize etmeyi zahmetli hale getirecek şekilde çalışma sisteminde gizlenebilir.

 Snapdragon, DSP veya elektronik işaret hazırlama çip ‘i olarak bilinen şeydir.  Bir çip üzerindeki bu tür teknik, temelde tek bir çip üzerindeki bütün bir PC’dir.  Farklı segmentler ve programlama paketi parçaları, şarj kapasitelerini ve videoyu, sesi, artan gerçekliği ve diğer karışık medya kapasitelerini bir araya getiren çeşitli işleri yönetir.  Telefon yaratıcıları da benzer şekilde özel nitelikleri lisanslayan özel uygulamaları çalıştırmak için DSP ‘leri kullanabilir.

Qualcomm Snapdragon

Yeni Saldırı Yüzey Alanı

 Look at Position Koruma kuruluşundan araştırmacılar, keşfettikleri zayıflıkların kısa bir raporunda, “DSP çipleri, alıcıları ek vurgularla zarif bir şekilde kapatmaları ve şaşırtıcı olayları güçlendirmeleri için cep telefonlarını güçlendiren makul derecede makul bir seçmeli ders verirken, bir değere eşlik ediyorlar,” diye yazdı.  “Bu çipler, bu hücre donanımına yeni saldırı yüzeyi ve zayıf unsurlar sunuyor. DSP çipleri, başkaları için sınıfının şaşırtıcı derecede en iyisi olma eğiliminde olduğunu düşünerek ‘Gizli unsurlar’ olarak denetlenmeye devam ettikleri için tehlikelere karşı çok daha güçsüzdür.  Yaratıcılarından stillerini ve konfigürasyonlarını, öne çıkan noktaları veya kodunu değerlendirmekten daha çok. “

 Qualcomm, kusurlar için bir düzenleme yaptı, ancak şu ana kadar Android işletim sistemine veya Snapdragon kullanan herhangi bir Android makineye dahil edilmedi, Test Seviyesi açıkladı.  Google ‘ın Qualcomm yamalarını iyi bir şekilde geliştirebileceğinden bahsettiğim noktada, Qualcomm ile test etmek için başvurulan bir dernek temsilcisi.  Yonga üreticisi, soran bir e-postaya cevap vermedi.

 Bak Sorun, zayıflıklar ve bunların nasıl suistimal edilebileceğiyle ilgili belirli ilgi noktalarını, düzeltmeler aygıtları tek tek tamamlayana kadar saklıyor.  Confirm Issue, zayıflıklara Aşil adını verdi.

 Qualcomm yetkilileri bir duyuruda şunları söyledi: “Para havalesi Aşamasında ortaya çıkan Qualcomm Compute DSP zayıflığıyla ilgili olarak, sorunu onaylamak ve OEM’lere doğru düzeltmeler yapmak için sürekli çalıştık. Şu anda kötüye kullanıldığını doğrulamıyoruz.  . Bitirme müşterilerini, yamalar geliştikçe cihazlarını hemen erişilebilir olacak şekilde yenilemeye ve bunları Google Perakendeci olarak güvenilir bölgelerden yalnızca amaçlara yerleştirmeye ikna ediyoruz. “

 Yer’e bakın, Snapdragon’un dünyadaki telefonların yaklaşık yüzde 40’ında koordine edildiğini gösteriyor.  Beklenen 3 milyar Android birimi ile bu, bir milyardan fazla telefon anlamına geliyor.  ABD bölümünde, Snapdragonlar yaklaşık 90 pc cihaza yerleştirilmiştir.

 Bu çabaların aksine, kendilerini korumak için esnek bir şekilde müşterilere yönelik temelde yönlendirme yoktur.  Uygulamaları sadece Perform’dan indirmek destekleyebilir, ancak Google ‘ın uygulamaları kontrol etme arşivi, yardımın sınır yeterliliğine sahip olduğunu gösterir.  Ayrıca, bubi tuzağı ile oluşturulan etkileşimli medyadan oluşan maddeyi uygun şekilde algılamanın gerçek bir yolu yoktur.