Slack は、業界のベストプラクティスに反して、デジタル署名されていないバージョンの Linux マシン向けチャットルーム アプリを配布しています。
デジタル署名がないと、悪意のある人物が、ユーザーが本物と簡単に区別できないような改ざんされたバージョンのソフトウェアを流通させる手段が生まれてしまいます。
El Reg は読者の Trevor Hemsley からこの問題を知った。Hemsley は 8 月に Slack に問題を報告し、約束された修正が行われなかった後に初めてメディアに知らせた。
「Slack は自社のアプリ向けに Linux パッケージを配布していますが、それらのパッケージは GPG キーを持たない yum リポジトリから提供されており、パッケージは署名されていません」とヘムズリー氏は説明した。
つまり、RPMベースのLinuxシステムにSlackをインストールした人は、事実上、未確認で未検証のコンテンツを含むパッケージへのルートアクセスを許可したことになります。もしSlackがウクライナのMeDocと同じように買収されれば、すべてのSlackユーザーはハッキングされたパッケージをダウンロードしてシステムにインストールし、即座にルートアクセスを得ることになるでしょう。
Slackはおかしい
標準的な方法としては、ソフトウェア パッケージにキーで署名し、ディストリビューション チームまたは信頼できる人物によって署名されたパッケージのみを信頼します。
RedHat/CentOS/FedoraなどのRPMにはGPG署名が推奨されています。SlackのRPMは署名されていません。El RegはSlackの広報チームにコメントを求めたところ、次のような回答を得ました。「Slackはセキュリティを非常に重視しており、常に改善方法を模索しています。これはまさに私たちが取り組んでいることです。かなり前からロードマップに載っており、間もなくリリースされる予定です。」®
