healthcare

Дослідники компанії Trustwave повідомили, що користувачам Mac-версії Skype варто терміново оновити додаток. Справа в тому, що в Skype Desktop API був знайдений бекдор, який проіснував в коді більше п’яти років.

Skype Desktop API (раніше Skype Public API) дозволяє стороннім додаткам взаємодіяти зі Skype. У нормальних обставинах сторонній додаток повинен надати для цього облікові дані, проте фахівці Trustwave виявили, що процедуру аутентифікації можна обійти, отримавши повний доступ до локального Skype.

З огляду на можливості Desktop API, сторонній додаток або малваре зможе використовувати бекдор для читання повідомлень про надходження нових повідомлень, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіозвонков. Гірше того, додаток, що використовує бекдор, не буде відображатися в списку Manage API Clients, який може переглядати користувач, і де він може відкликати допуск до свого Skype-аккаунту.

Дослідники пишуть, що не зовсім ясно, як з’явився цей бекдор. «Існує цікава ймовірність, що цей баг – результат додавання в Desktop API бекдора для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає дуже правдоподібно, якщо враховувати, що Desktop API передбачає недокументований ідентифікатор client name (Skype Dashbd Wdgt Plugin) ».

Судячи з усього, Skype Dashbd Wdgt Plugin – це стара назва віджету Skype for Mac Dashboard, який до цих пір використовується навіть в нових версіях Skype. Однак Skype Dashboard не використовує бекдор в Desktop API. «Це вказує на можливість того, що бекдор – це результат помилки розробників, яку випадково забули в коді під час роботи над імплементацією плагіна Dashboard», – кажуть фахівці.

Однак навіть якщо бекдор – це помилка розробників, вона дуже стара. Skype Dashbd Wdgt Plugin зустрічається в коді минулих версій Skype для Mac протягом більш ніж п’яти років. Таким чином, вразливі всі версії Skype для Mac, включаючи Skype 7.35.

За інформацією Trustwave, патч для даної проблеми був представлений 26 листопада 2016 року, так що всім, хто давно не оновлював Skype, настійно рекомендується зробити це якомога швидше.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Поділитися

Суд між компаніями ZeniMax і Oculus закінчився досить незвичайно

Ми вже розповідали вам про те, що ігрове видавництво ZeniMax (власник студій Bethesda, id Software, Arcane Studios і ін.) висунуло судовий позов проти керівництва компанії Oculus, що належить корпорації Facebook. Позивач звинуватив Oculus в тому, що її співробітник (Джон Кармак, який у минулому працював в id Software) нібито вкрав у ZeniMax важливі технології в області […]

GAMES. Rovio выпустила Retry

Если легенда Финляндии – мобильное подразделение Nokia перешла в руки корпорации Microsoft, то разработчик «злых птиц» Rovio остается символом величия технологической Финляндии. Самый «старый» разработчик мобильных игр решил представить национальную версию игры в стиле Flappy Bird. Игра Retry создана по мотивам культовой программы, которую выпустили в новом подразделении Rovio – LVL11. Retry очень напоминает классические […]

В Африці стартує виробництво смартфонів

У ПАР стартує виробництво перших африканських смартфонів. Їх розробкою і створенням займеться стартап Onyx Connect. Крім смартфонів компанія також планує випускати планшети, гарнітури та інші гаджети. Всі пристрої компанії будуть працювати на базі ОС Android. Для компанії Google локальне виробництво гаджетів на базі її ОС може стати серйозним поштовхом для продажу в Африці. В даний […]