Microsoft Teams: l'account si può rubare con una GIF, come proteggersi

Dopo i numerosi problemi di sicurezza con Zoom, un altro servizio di videochiamate finisce sulla graticola. Questa volta è toccato a Microsoft Teams, che è utilizzato in ambito aziendale e secondo alcuni ricercatori, contiene una falla che permette di rubare un account con una GIF.

La scoperta è stata effettuata da CyberArk, i quali in un post pubblicato sul blog ufficiale spiegano che attraverso l'invio di un'immagine in formato GIF sarebbe possibile sottrarre l'account al malcapitato utente, e quindi accedere a tutte le informazioni in esso contenuto.

Il bug sarebbe collegato al modello di gestione delle immagini da parte di Teams, ed anche al sistema di visualizzazione. A ciò si aggiungerebbe anche un problema nel sistema di identificazione di Teams, che come noto si basa su due token che vengono scambiati con i server del colosso di Redmond. Proprio questa combinazione infatti potrebbe consentire ad un hacker di sottrarre il profilo, "semplicemente" intercettando i token in quanto nel momento in cui si invia una fotografia questa viene inviata ai server che, per renderla visibile agli utenti, richiede l'autenticazione. Il processo non è facile da spiegare ed è riassunto nel grafico presente in calce o nel video pubblicato dai ricercatori, che mostra anche come sia possibile agire anche sulla gestione dei sottodomini di teams.microsoft.com.

A livello pratico, un hacker non deve far altro che inviare una GIF al malcapitato utente, e dare il via al processo di recupero dei token, che porterà all'accesso all'account. Il tutto all'insaputa degli utenti.

Microsoft è stata immediatamente informata del problema ed ha provveduto a risolverlo attraverso un aggiornamento software. Per questo motivo è consigliabile assicurarsi di aver installato l'ultima versione del software.

In Italia a causa del lockdown l'utilizzo di Teams è aumentato del 775%, secondo i dati di Microsoft.