healthcare

Дослідники компанії Trustwave повідомили, що користувачам Mac-версії Skype варто терміново оновити додаток. Справа в тому, що в Skype Desktop API був знайдений бекдор, який проіснував в коді більше п’яти років.

Skype Desktop API (раніше Skype Public API) дозволяє стороннім додаткам взаємодіяти зі Skype. У нормальних обставинах сторонній додаток повинен надати для цього облікові дані, проте фахівці Trustwave виявили, що процедуру аутентифікації можна обійти, отримавши повний доступ до локального Skype.

З огляду на можливості Desktop API, сторонній додаток або малваре зможе використовувати бекдор для читання повідомлень про надходження нових повідомлень, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіозвонков. Гірше того, додаток, що використовує бекдор, не буде відображатися в списку Manage API Clients, який може переглядати користувач, і де він може відкликати допуск до свого Skype-аккаунту.

Дослідники пишуть, що не зовсім ясно, як з’явився цей бекдор. «Існує цікава ймовірність, що цей баг – результат додавання в Desktop API бекдора для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає дуже правдоподібно, якщо враховувати, що Desktop API передбачає недокументований ідентифікатор client name (Skype Dashbd Wdgt Plugin) ».

Судячи з усього, Skype Dashbd Wdgt Plugin – це стара назва віджету Skype for Mac Dashboard, який до цих пір використовується навіть в нових версіях Skype. Однак Skype Dashboard не використовує бекдор в Desktop API. «Це вказує на можливість того, що бекдор – це результат помилки розробників, яку випадково забули в коді під час роботи над імплементацією плагіна Dashboard», – кажуть фахівці.

Однак навіть якщо бекдор – це помилка розробників, вона дуже стара. Skype Dashbd Wdgt Plugin зустрічається в коді минулих версій Skype для Mac протягом більш ніж п’яти років. Таким чином, вразливі всі версії Skype для Mac, включаючи Skype 7.35.

За інформацією Trustwave, патч для даної проблеми був представлений 26 листопада 2016 року, так що всім, хто давно не оновлював Skype, настійно рекомендується зробити це якомога швидше.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Поділитися

Як налаштувати автоматичне додавання вибраних листів в нагадування

Потрібно відразу зробити кілька застережень: сьогоднішня порада буде працювати тільки з поштовими скриньками в Gmail, а також вимагатиме установки додатка IF. З його допомогою можна налаштувати безліч корисних інтеграцій. Сьогодні я розповім про те, як зв’язати між собою позначені листи з Gmail і стандартний додаток Нагадування на iOS. Запуск цього рецепта гранично простий. Після успішного […]

Apple Music став четвертим у світі за кількістю користувачів

Сервіс потокового відтворення музики від Apple на сьогоднішній день ще не повною мірою розкрив свій потенціал. Незважаючи на гідні для новачка показники, Apple Music чекає довгий і тернистий шлях, перш ніж він досягне популярності рівня найближчих конкурентів. Складається враження, що Apple пізно прийняла рішення запустити власний музичний сервіс. У жовтні цього року Apple Music налічував […]

Реліз iOS 10 і OS X 10.12 ближче, ніж ви думаєте

До дати презентації iPhone 5se і 9,7-дюймового iPad Pro залишилося близько трьох тижнів, але підготовка до липневого заходу вже йде повним ходом. Більшу частину роботи виконують купертіновські тестери, перевіряючі працездатність нових прошивок. iOS 10 і OS X 10.12, попередні версії якиі нам покажуть в ході липневої конференції WWDC, буквально кричать про швидкі анонси, раз у раз миготять в […]