Microsoft Teams guarda tokens de acesso sem proteção no sistema

Microsoft Teams guarda tokens de acesso sem proteção no sistema

Se utiliza o Microsoft Teams no desktop, existe uma forte possibilidade que os tokens de acesso à sua conta na plataforma estejam a ser armazenados no sistema sem qualquer proteção.

A falha foi descoberta por um grupo de investigadores da empresa de segurança Vectra, na qual é indicado que a aplicação para Windows, macOS e Linux do Microsoft Teams armazena conteúdos potencialmente sensíveis no sistema, sem qualquer género de proteção.

Em causa encontram-se os tokens de acesso à conta, que o programa usa para aceder à plataforma online como “login” em cada utilizador. Este token é guardado, segundo os investigadores, no próprio sistema, mas sem qualquer género de proteção. Além disso, também é armazenado o token de autenticação em duas etapas.

Teoricamente, um atacante com acesso ao sistema pode obter estes dados para realizar um ataque sobre a conta dos utilizadores, obtendo assim acesso à mesma e a todos os conteúdos nela existentes. O mais grave será que o ataque pode ser feito sem praticamente qualquer técnica especial – os dados estão armazenados de forma clara no sistema, sem qualquer proteção ou encriptação, e qualquer um lhes pode aceder.

A falha foi inicialmente descoberta em Agosto de 2022, e apesar de os investigadores terem reportado a mesma para a Microsoft, a empresa acredita que esta não é uma falha grave – e como tal, não foi corrigida.

Tendo em conta que será improvável a Microsoft corrigir este problema, os investigadores recomendam que os utilizadores apliquem medidas para evitar possíveis roubos de contas. Uma delas será usar um navegador invés da app oficial do Teams para aceder ao serviço – nomeadamente o Edge – o que deverá ajudar a resolver o problema.

Para os utilizadores do Linux, tendo em conta que a Microsoft encontra-se a descontinuar a versão oficial da sua app, o recomendado será também mudar para a versão web pelo navegador.