healthcare

Дослідники компанії Trustwave повідомили, що користувачам Mac-версії Skype варто терміново оновити додаток. Справа в тому, що в Skype Desktop API був знайдений бекдор, який проіснував в коді більше п’яти років.

Skype Desktop API (раніше Skype Public API) дозволяє стороннім додаткам взаємодіяти зі Skype. У нормальних обставинах сторонній додаток повинен надати для цього облікові дані, проте фахівці Trustwave виявили, що процедуру аутентифікації можна обійти, отримавши повний доступ до локального Skype.

З огляду на можливості Desktop API, сторонній додаток або малваре зможе використовувати бекдор для читання повідомлень про надходження нових повідомлень, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіозвонков. Гірше того, додаток, що використовує бекдор, не буде відображатися в списку Manage API Clients, який може переглядати користувач, і де він може відкликати допуск до свого Skype-аккаунту.

Дослідники пишуть, що не зовсім ясно, як з’явився цей бекдор. «Існує цікава ймовірність, що цей баг – результат додавання в Desktop API бекдора для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає дуже правдоподібно, якщо враховувати, що Desktop API передбачає недокументований ідентифікатор client name (Skype Dashbd Wdgt Plugin) ».

Судячи з усього, Skype Dashbd Wdgt Plugin – це стара назва віджету Skype for Mac Dashboard, який до цих пір використовується навіть в нових версіях Skype. Однак Skype Dashboard не використовує бекдор в Desktop API. «Це вказує на можливість того, що бекдор – це результат помилки розробників, яку випадково забули в коді під час роботи над імплементацією плагіна Dashboard», – кажуть фахівці.

Однак навіть якщо бекдор – це помилка розробників, вона дуже стара. Skype Dashbd Wdgt Plugin зустрічається в коді минулих версій Skype для Mac протягом більш ніж п’яти років. Таким чином, вразливі всі версії Skype для Mac, включаючи Skype 7.35.

За інформацією Trustwave, патч для даної проблеми був представлений 26 листопада 2016 року, так що всім, хто давно не оновлював Skype, настійно рекомендується зробити це якомога швидше.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Поділитися

Користувачі скаржаться на проблеми з активацією iPhone 7

Новий «яблучний» смартфон продовжують переслідувати проблеми. Звичайно, не такі, як у вибухонебезпечного Samsung Galaxy Note 7, але теж неприємні для користувачів. Нагадаємо, спочатку власники новеньких iPhone 7 в кольорі Jet Black виявили, що покриття корпусу подряпати не просто легко, а дуже легко. Для цього навіть не потрібно докладати особливих зусиль, адже смартфон дряпається практично після будь-якого […]

Xiaomi представила робота-пилососа Mi Robot Cleaner

Рисоварка, викрутки, очищувачі води і повітря, розумні лампи, системи відеоспостереження … Чого ще не вистачає в асортименті молодого китайського бренду Xiaomi? Схоже, що «розумного» робота-пилососа. Компанія із задоволенням представила свою новинку. Знайомтеся, MIJIA Robot Cleaner Mi Robot – робот-пилосос, який позбавить вас від необхідності щодня прибирати квартиру і стежити за чистотою. Таку довгу назву гаджет […]

Apple на колёсах

Уже давно ходили слухи вокруг загадочного проекта Project Titan. Apple готовят что-то совершенно новое, революционное и необычное. Стало известно, что это будет новый компьютеризированный и роботизированный электромобиль. Стали известны имена людей, которые этим занимаются и примерное количество работников, занятых этим вопросом. Их количество колеблется от 100 до 1000, если верить разным интернет-ресурсам. Для Apple уже […]