healthcare

Дослідники компанії Trustwave повідомили, що користувачам Mac-версії Skype варто терміново оновити додаток. Справа в тому, що в Skype Desktop API був знайдений бекдор, який проіснував в коді більше п’яти років.

Skype Desktop API (раніше Skype Public API) дозволяє стороннім додаткам взаємодіяти зі Skype. У нормальних обставинах сторонній додаток повинен надати для цього облікові дані, проте фахівці Trustwave виявили, що процедуру аутентифікації можна обійти, отримавши повний доступ до локального Skype.

З огляду на можливості Desktop API, сторонній додаток або малваре зможе використовувати бекдор для читання повідомлень про надходження нових повідомлень, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіозвонков. Гірше того, додаток, що використовує бекдор, не буде відображатися в списку Manage API Clients, який може переглядати користувач, і де він може відкликати допуск до свого Skype-аккаунту.

Дослідники пишуть, що не зовсім ясно, як з’явився цей бекдор. «Існує цікава ймовірність, що цей баг – результат додавання в Desktop API бекдора для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає дуже правдоподібно, якщо враховувати, що Desktop API передбачає недокументований ідентифікатор client name (Skype Dashbd Wdgt Plugin) ».

Судячи з усього, Skype Dashbd Wdgt Plugin – це стара назва віджету Skype for Mac Dashboard, який до цих пір використовується навіть в нових версіях Skype. Однак Skype Dashboard не використовує бекдор в Desktop API. «Це вказує на можливість того, що бекдор – це результат помилки розробників, яку випадково забули в коді під час роботи над імплементацією плагіна Dashboard», – кажуть фахівці.

Однак навіть якщо бекдор – це помилка розробників, вона дуже стара. Skype Dashbd Wdgt Plugin зустрічається в коді минулих версій Skype для Mac протягом більш ніж п’яти років. Таким чином, вразливі всі версії Skype для Mac, включаючи Skype 7.35.

За інформацією Trustwave, патч для даної проблеми був представлений 26 листопада 2016 року, так що всім, хто давно не оновлював Skype, настійно рекомендується зробити це якомога швидше.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Поділитися

Apple патентує нові розумні навушники для мобільних пристроїв

Днями в мережі з'явилася інформація про нову патентну заявку, яка подана компанією Apple. У ній описані не зовсім звичайні навушники для мобільних пристроїв. Їх відмінною особливістю є спеціальний механізм, який дозволяє швидко перемикатися між бездротовим і провідним режимами. Згідно з наявними даними, в майбутньому купертінівці можуть випустити розумні навушники для iPhone і iPad. Вони будуть […]

Microsoft почала тестування управління Windows 10 за допомогою погляду

Поява в найпопулярнішій в світі операційній системою управління за допомогою погляду напевно обрадує багатьох людей. В першу чергу, це значно полегшить життя інвалідів, що залишилися без кінцівок, і паралізованих людей. Втім, подібний інтерфейс може припасти до душі і звичайним людям, бо часом так лінь тягнутися за мишкою, щоб поставити улюблений серіал на паузу. Ох, вже […]

Голосовий помічник Cortana від Microsoft став доступний на iOS і Android

Після довгих тестувань Microsoft презентувала остаточну версію свого голосового помічника Cortana для пристроїв на iOS і Android. Нова розробка повинна скласти конкуренцію Siri і Google Now на конкуруючих мобільних платформах, так як компанія випустила додаток відразу для двох ОС. Cortana for iOS виглядає і працює аналогічно Cortana для мобільної Windows 10. Користувачі смартфонів отримають окрему […]