Ekziston një problem sigurie në Microsoft Teams përmes të cilit hakerët mund të kyçen në llogaritë e përdoruesve edhe nëse ato janë të mbrojtura me verifikimin me dy faktorë pretendojnë hulumtuesit.
Ekspertët e kompanisë së sigurisë Vectra thanë se aplikacioni desktop i Teams, konkretisht në Windows, Linux dhe Mac ruan çelësat e kyçjes së përdoruesve në tekst të lexueshëm dhe asgjë nuk ndalon aksesimin e tyre.
Çdo individ me akses lokal në sistem me Teams të instaluar mund të vjedhë këto çelësa dhe të kyçet në llogaritë e përdoruesve.
Problemi fillon tek fakti se Microsoft Teams është një aplikacion Electron që operon nën dritaren e një shfletuesi. Duke qenë se Electron nuk ka mbështetje për enkriptim apo mbrojtje të të të dhënave, është më i lehtë për tu përdorur por njëkohësisht edhe më i rrezikshëm.
Një analizë e thellë zbuloi se çelësat nuk ishin ruajtur të ekspozuar gabimisht, ato ishin praktikë. Microsoft minimizoi impaktin që një qasje e tillë mund të ketë duke thënë se nuk është e rrezikshme dhe nuk përmbush kriteret për një përditësim.
Vectra mendon ndryshe dhe për ti provuar Microsoft të kundërtën zhvilloi një aplikacion që abuzon me thirrjet e API. Duke lexuar cookie-t në databazë përmes SQLite, aplikacioni mund të merrte çelësat e verifikimit përmes një mesazhi.
Vetra sugjeroi të gjithë përdoruesit që ndihen të kërcënuar nga ky problem sigurie, të përdorin versionin ueb të aplikacionit.
