healthcare

Дослідники компанії Trustwave повідомили, що користувачам Mac-версії Skype варто терміново оновити додаток. Справа в тому, що в Skype Desktop API був знайдений бекдор, який проіснував в коді більше п’яти років.

Skype Desktop API (раніше Skype Public API) дозволяє стороннім додаткам взаємодіяти зі Skype. У нормальних обставинах сторонній додаток повинен надати для цього облікові дані, проте фахівці Trustwave виявили, що процедуру аутентифікації можна обійти, отримавши повний доступ до локального Skype.

З огляду на можливості Desktop API, сторонній додаток або малваре зможе використовувати бекдор для читання повідомлень про надходження нових повідомлень, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіозвонков. Гірше того, додаток, що використовує бекдор, не буде відображатися в списку Manage API Clients, який може переглядати користувач, і де він може відкликати допуск до свого Skype-аккаунту.

Дослідники пишуть, що не зовсім ясно, як з’явився цей бекдор. «Існує цікава ймовірність, що цей баг – результат додавання в Desktop API бекдора для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає дуже правдоподібно, якщо враховувати, що Desktop API передбачає недокументований ідентифікатор client name (Skype Dashbd Wdgt Plugin) ».

Судячи з усього, Skype Dashbd Wdgt Plugin – це стара назва віджету Skype for Mac Dashboard, який до цих пір використовується навіть в нових версіях Skype. Однак Skype Dashboard не використовує бекдор в Desktop API. «Це вказує на можливість того, що бекдор – це результат помилки розробників, яку випадково забули в коді під час роботи над імплементацією плагіна Dashboard», – кажуть фахівці.

Однак навіть якщо бекдор – це помилка розробників, вона дуже стара. Skype Dashbd Wdgt Plugin зустрічається в коді минулих версій Skype для Mac протягом більш ніж п’яти років. Таким чином, вразливі всі версії Skype для Mac, включаючи Skype 7.35.

За інформацією Trustwave, патч для даної проблеми був представлений 26 листопада 2016 року, так що всім, хто давно не оновлював Skype, настійно рекомендується зробити це якомога швидше.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Поділитися

GAMES. Neon Battleground – крутой шутер нового поколения

Как истинный любитель iOS-баттлов, я не мог не рассказать об игре Neon Battleground – относительно новом и очень крутом шутере в App Store. Игроку предстоит бороться с реальными противниками в режиме нон-стоп без права на передышку. Скачать игру можно в магазине приложений по этой ссылке. Итак, перед нами – небольшое космическое пространство, на просторах которого […]

Сотни рабочих Apple работают над электрокаром под названием «Титан»

Слухи о том, что компания Apple работает над созданием электрокара, начали густеть, превращаясь в осязаемый кисель. Говорят что, скорее мы увидим минивэн. Серьёзность слухов привела к тому, что новостью заинтересовался Wall Street Journal. По его уверениям, новую машинку назовут «Титан» и «несколько сотен» работников Apple денно и нощно трудятся над её прототипом. СЕО Apple Тим Кук […]

Супермодель Кэндис Свейнпол в Apple Watch появится на обложке мартовского SELF

На обложке мартовского выпуска женского журнала SELF будет изображаться супермодель Кэндис Свейнпол, известная по своей работе в Victoria `s Secret Angel, с Apple Watch на левой руке. Возможно, Apple, таким образом, хочет усилить своё влияние среди поклонников моды и фитнесса. Это не первый случай рекламы Apple Watch. Ранее супермодель Лю Вэнь уже носила устройство на […]