松弛虫为一个可以窃取用户访问的黑客铺平了道路

流行的一个错误，流行的工作聊天应用程序，足以让安全研究员设计一个可以欺骗用户交换对其帐户的黑客。

Bug Bounty Hunter Frans Rosen注意他可以由于应用程序在Internet浏览器中传达数据的方式而窃取用户帐户将Slack Access令牌窃取到用户帐户。

“在使用叫做PostMessage的技术时，Slack错过了一个重要的一步，”罗森在一封电子邮件中说。

postMessage是一种可以让单独的浏览器Windows彼此通信的一种命令。在Slack中，它在聊天应用程序打开新窗口以启用语音呼叫时使用。

理想情况下，使用PostMessage的应用程序将验证在单独的窗口之间交换的所有数据的原点，以保持进程安全。然而，根据Rosen，Slack没有这样做。

“没有验证他们对我来说是一个明确的指示，我可以开始做有趣的东西，”他在博客帖子中写道，为安全公司侦查，他建议。

上周，他发现了这个问题，实现了他可以通过PostMessage Bug虹吸用户访问令牌。

“如果您有浏览器窗口，并通过单击链接打开新窗口，那么这两个窗口可以使用PostMessage进行通信，”他在一封电子邮件中说。

但如果其中一个窗口是一个冒名者，那么怎么办？这就是罗森基本上用恶意网页创建的东西，可以劫持松弛应用程序。

他展示了视频中的理论黑客。恶意网页将打开一个松弛窗口，然后强制受害者的帐户交出其访问令牌。

幸运的是，松弛已经解决了这个问题。根据Hackerone的一张错误赏金平台，该公司在彻底调查后发现了缺陷从未被剥削过的缺陷。

“用PostMessage安全地工作，您始终需要验证每条消息的起源，”Rosen添加。