В десктопной версии приложения специалисты по информационной безопасности обнаружили достаточно опасную дыру. Все дело в том, как хранятся в данном случае токены аутентификации. Такой принцип дает возможность хакерам до них добраться.
Затрагиваются версии для macOS, Linux, Windows. Такой способ хранения токенов позволяет получить доступ к ним абсолютно всем, кому это нужно.
То есть, если у того, кто совершает атаку, будет иметься доступ к устройству, на котором установлено данное приложение, у него появится возможность завладеть токенами. В дальнейшем, задействовав их, он может войти в аккаунт владельца устройства.
Специалисты Vectra отмечают, что киберпреступникам для удачной атаки не требуются серьезные вирусные ПО и особые разрешения.
Microsoft о наличии проблемы были поставлены в известность в августе. Тем не менее, компания не стала выпускать обновление, так как считает, что опасности нет.
В Vectra говорят, что все токены актуальны. Специалисты благодаря им получили доступ к Скайпу и API Outlook.
Также было установлено, что в «Cookies» тоже содержались токены, в которых была информация об аккаунте и не только.
В связи с этим можно сделать вывод, что вирусные ПО, специализирующиеся на краже данных, без проблем могут заполучить токены, а уже потом предоставить операторам абсолютный доступ к учеткам людей.
Эксперты Vectra советуют в сложившейся ситуации перейти на браузерную версию приложения.