Slack 决定不修复可暴露用户身份的 XSLeak漏洞

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

这类漏洞被称为跨站点泄露 (XSLeak)漏洞，可使攻击者规避同源策略。

2019年，德国达姆施塔特工业大学的研究员在Facebook、推特和 Microsoft Live 等流行的消息和社交媒体平台的图像分享特性中发现了一个 XSLeak 信道。

从本质上来看看，当用户在私密聊天线程中上传图像后，主机服务会为该资源创建一个唯一的 URL，仅供线程内的各方访问。攻击者可滥用该机制为目标用户创建一个唯一的URL，之后强制访客的浏览器访问另外一个网站请求相同的URL。

攻击者根据浏览器的响应判断该访客是否为同一用户。这一技术可用于指纹攻击或鱼叉式钓鱼攻击中。

安全研究员 Julien Cretel 表示，这篇论文激励他检查“Slack 的文件分享功能是否易受 Leaky Image 攻击影响，结果证实确实如此，而且目前为止仍然如此。”

Cretel 在博客中指出，Slack 中的 XSLeak 漏洞取决于攻击者在同样的 Slack 工作空间拥有和目标相同的用户账户，能够向他们发送直接消息。

当用户在直接的消息信道中上传文件时，Slack 生成一个尽可由会话多方访问的URL。而其他用户，不管是否是 Slack 组的一部分，在尝试检索该URL 时都会被重定向至主页面。

Slack 使用 “SameSite=lax” 指令保护其会话 cookie 的安全，这意味着在特定条件下，仅可由域名请求访问。

然而，Cretel 指出，通过一些简单的 JavaScript 编程，攻击者就能够创建网页规避 SameSite 防护措施并提取该 URL。如资源可访问，则攻击者确认访客实际上就是该 Slack 用户。

Cretel 利用 “form-action” 指令创建了一种新型技术，以检测多名 Slack 用户。他还是以哦那个 Slack 的组DM 消息减少识别目标用户所需的文件上传。

该漏洞存在一些限制条件。该漏洞并不适用于桌面和移动 app 或非 Chromium 浏览器如火狐浏览器和 Safari。

Cretel 在 Chromium 漏洞报告平台上提出该问题，希望 form-action 指令问题得以解决。

然而，Cretel 表示Slack 拒绝修复该漏洞，因为不同于公共服务如推特，Slack 是一个可信的工作空间，“Slack Workspace 中的两名用户之间至少存在某种暗含的信任措施或至少存在某种熟悉度。”

然而，他指出，“Slack 的回复有一些矛盾。一方面，他们假定既定工作空间的员工是善意的而且互相信任；另一方面，他们督促工作空间管理员努力管理成员清单以阻止滥用。”

在很多 Slack 工作空间中，进入门槛非常低。例如，在默认设置下，Slack 可使非guest 成员邀请他人进入工作空间。而某些 Slack 工作空间实际上成为了非常庞大的跨业务消息论坛。

Slack 平台的一名发言人指出，“Slack 一直致力于保护平台安全，我们很高兴安全研究社区为此付出的努力。阻止工作空间成员之间攻击的最佳方法是确保自己工作空间中的所有人都是可信的成员或合作伙伴。Slack 赋予每个组织机构恰当限制成员的邀请和工具权限。我们了解到，一些使用 Slack 的组织机构的成员范围更加宽泛。在这种情况下为实现更严苛的控制，我们建议将权限仅允许工作空间所有人和管理员向新成员发送邀请。”

Cretel 表示，“尽管他们的回复对我而言毫无吸引力，但我必须承认我很感激 Slack 允许我披露该漏洞。既然现在漏洞已公开，那么客户的压力将使他们重新考虑他们的立场。“