Автор Тема: В Skype обнаружена уязвимость, позволяющая взломать аккаунт  (Прочитано 4505 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Strateg

  • Global Moderator
  • V.I.P.
  • *****
  • Сообщений: 11423
  • Пол: Мужской
  • 戦略
  • Город: 56°56′51″N 24°06′23″E
В Skype обнаружена уязвимость, позволяющая взломать аккаунт

Уязвимость в популярном сервисе интернет-телефонии Skype, позволяющая «угнать» чужой аккаунт, зная лишь ассоциированный с ним адрес электронной почты, вызвала бурное обсуждение в соцсетях и на интернет-форумах в среду. .


Российские пользователи Skype жалуются на массовое похищение аккаунтов. О взломе своего Skype-аккаунта в частности сообщил популярный блогер Антон Носик, медиадиректор компании SUP Media, владеющей сервисом LiveJournal..

Уязвимость в механизме восстановления пароля позволяет злоумышленнику, знающему адрес электронной почты, на который зарегистрирована учетная запись жертвы в Skype, произвольно менять пароль и как следствие получить доступ к аккаунту.

Как удалось выяснить корреспондентам РИА Новости, описанный на интернет-форумах способ взлома работает и не требует от взломщика специальных навыков..

РИА Новости пока не располагает комментарием корпорации Microsoft, которой принадлежит сервис Skype..

Алгоритм взлома предусматривает регистрацию злоумышленником новой учетной записи в Skype на электронный адрес жертвы. После регистрации и нескольких несложных процедур, взломщику достаточно воспользоваться сервисом восстановления паролей, чтобы получить доступ к списку всех аккаунтов, зарегистрированных на адрес жертвы, и сменить в них пароли..

Для снижения риска взлома Skype-аккаунта пользователям рекомендуется поменять адрес электронной почты, на который зарегистрирована их учетная запись, на новый email и держать его в тайне..

Впервые данный способ взлома был опубликован ранее на этой неделе на хакерском форуме Xeksec, который по состоянию на утро среды недоступен. Однако информация успела распространиться по другим интернет-ресурсам..

По данным с форума техподдержки Community.skype.com, данные об уязвимости были впервые опубликованы еще в июле текущего года, однако до сих пор она не была исправлена..

Компания Skype была основана в 2003 году. Число зарегистрированных пользователей сервиса превышает 500 миллионов человек, а его ежемесячная аудитория достигает 170 миллионов пользователей. Для работы с сервисом существуют клиентские программы для большинства распространенных настольных и мобильных операционных систем. В 2011 году корпорация Microsoft приобрела Skype за 8,5 миллиарда долларов

Оффлайн Морская

  • Эксперт
  • ****
  • Сообщений: 7370
  • Пол: Женский
что-то непонятно немного...чтоб восстановить пароль нужно ведь иметь доступ к ящику, чтоб прочесть письмо с новым паролем? т.е. в данном случае как бы ничего нового вроде не сообщили...

Оффлайн Strateg

  • Global Moderator
  • V.I.P.
  • *****
  • Сообщений: 11423
  • Пол: Мужской
  • 戦略
  • Город: 56°56′51″N 24°06′23″E
Согласен, что есть непонятные моменты. Но это реально. Речь, в принципе идет не о взломе, а об "угоне" аккаунта.

Цитировать
подтверждение приходит так же и на созданный аккаунт. Проще говоря, регистрируем на почтовый ящик другой аккаунт, заходим в него, запрашиваем смену пароля через клиент скайпа, в том же клиенте получаем подтверждение на смену пароля-вуаля, аккаунт наш

На всякий случай, лучше убрать с общего обозрения почтовый адрес.

Оффлайн Морская

  • Эксперт
  • ****
  • Сообщений: 7370
  • Пол: Женский

На всякий случай, лучше убрать с общего обозрения почтовый адрес.
получается, что тогда придется иметь отдельный ящик конкретно под скайп. потому что, зная адрес, можно легко найти аккаунт, даже если он не виден собеседникам....с другой стороны, схема такая простая, что даже удивительно, что её только сейчас опубликовали...

Оффлайн Strateg

  • Global Moderator
  • V.I.P.
  • *****
  • Сообщений: 11423
  • Пол: Мужской
  • 戦略
  • Город: 56°56′51″N 24°06′23″E
Типа того.

Все гениальное - просто (с) :)

На самом деле - все усилия были направлены на взлом криптографического ключа Скайпа.

Оффлайн Strateg

  • Global Moderator
  • V.I.P.
  • *****
  • Сообщений: 11423
  • Пол: Мужской
  • 戦略
  • Город: 56°56′51″N 24°06′23″E
Угнать и поменять
В Skype нашли серьезную уязвимость

Пользователи обнаружили в сервисе интернет-телефонии Skype уязвимость, которая позволяет получить доступ к контактам и в некоторых случаях к переписке другого пользователя. "Дыра" также дает возможность поменять чужой пароль, закрыв жертве доступ в Skype. Пока интернетчики на интерес ломали чужие аккаунты, администрация Skype неспешно занималась "исследованием проблемы".

Описание "дыры" в Skype появилось вечером 13 ноября на форуме xeksec.com. Через несколько часов автор сообщения опубликовал рассказ про уязвимость и на популярном "Хабрахабре". К следующему утру пост успел набрать более ста тысяч просмотров и несколько сотен комментариев - получить доступ к чужим данным в Skype описанным в сообщении путем оказалось впечатляюще просто.

Способ базируется на существующей в Skype возможности завести несколько аккаунтов на один и тот же адрес электронной почты. Например, Вася, владелец ящика vasya.ivanov@domain.ru, может создать себе в скайпе аккаунты vasya_narabote, vasya_doma и vasya_votpuske и привязать их к одному и тому же электронному адресу. Для доступа к аккаунтам Вася может использовать один и тот же пароль или три разных, но это уже не так важно.

В принципе ничего крамольного в такой системе нет, но благодаря ей вскрылась череда недоработок в Skype, способная привести в ужас не только IT-профессионала, но и рядового пользователя.

Зайдем на главную страницу сайта Skype и притворимся, что хотим зарегистрировать нового пользователя. Для этого мы нажмем кнопку "Регистрация". Появится стандартная форма, где нам предложат чуть-чуть рассказать о себе. Расскажем, но в графе "Адрес электронной почты" укажем не свой адрес, а адрес Васи. Придумаем себе логин - например, vasya_vzlom - и пароль.

Согласие настоящего Васи на создание нового аккаунта с его адресом электронной почты, как выясняется, вовсе не требуется. Не проводится никаких проверок - неважно, что в аккаунтах Васи год рождения - 1978, а у нас - 1982. Неважно, что Вася указал, что живет в Самаре, а мы в анкете при регистрации выбрали Москву. Аккаунт все равно будет создан. Секретные вопросы? Подтверждение на почту? Прошлый век, забудьте.

Итак, мы имеем на руках логин vasya_vzlom и пароль. Запускаем Skype, вводим логин и пароль, успешно заходим. Никаких Васиных данных мы не видим - это новый, чистый аккаунт. Но это не конец истории. Снова прикинемся Васей, пройдем по этой ссылке (после 13:40 по Москве не работает) и скажем скайпу, что мы забыли пароль. Skype попросит нас ввести почту (снова наберем vasya.ivanov@domain.ru), а потом возьмет под козырек и пришлет нам "маркер пароля" - иначе говоря, код, который позволит поменять пароль



Дальше начинается самое интересное. "Маркер пароля" упадет не только в почтовый ящик Васи (который, возможно, мирно спит и проверит его еще нескоро), но и в наш клиент Skype, который мы запустили в предыдущем абзаце. О том, что код пришел, мы узнаем из всплывающего уведомления в правом нижнем углу экрана.



Проходим по ссылке в уведомлении и - вуаля! - получаем право поменять пароль не только к самодеятельному аккаунту vasya_vzlom, но и к кровным Васиным vasya_narabote, vasya_doma и vasya_votpuske.



Проснувшийся к тому моменту Вася сонно хлопает глазами и недоумевает, почему автоматически запустившийся Skype сообщает ему, что пароль введен неверно.

Войдя в Skype под любым из Васиных логинов, мы получим доступ к списку его контактов, к истории звонков и к личным сообщениям. В Skype для Windows возможно посмотреть переписку за последние 30 дней - этого более чем достаточно, чтобы узнать о Васе что-то новое.

Пост с описанием метода взлома аккаунтов опубликовали на "Хабрахабре" 13 ноября в 23:49 по московскому времени. Аттракцион с рассылкой "маркеров" Microsoft прикрыла примерно в 13:40 14 ноября, просто отключив опцию сброса паролей. Сколько аккаунтов увели за 14 часов, пока работала опция, неизвестно.

Судя по комментариям на "Хабре", взлом принял характер игры - сначала пользователи проверяли, работает ли способ, на личном skype-аккаунте, потом переключались на аккаунты друзей или известных людей. Азарта взломщикам придавал еще и тот факт, что запрашивать "маркер пароля" можно было ограниченное количество раз - кто успел последним, за тем и остаются права на аккаунт. Жертвами атаки в числе прочих стали блогеры Антон Носик, Илья Варламов и Алексей Навальный (последнему, правда, к таким вещам не привыкать). Все обошлось вполне мирно - Носику и Навальному аккаунты вернули сами же взломщики, Варламову не стали менять пароль, и он выполнил процедуру "восстановления" самостоятельно.

Спастись от возможного взлома можно было двумя методами - либо установив в настройках Skype в качестве основной почты нигде не засвеченный, никому не известный ящик, либо не заморачиваться с созданием новой почты и просто прибавить к старому адресу символ "плюс" и любое слово (vasya+luboe.slovo@gmail.com) или "разбавить" логин точками (v.as.ya@gmail.com). Эти уловки действуют для ящиков на Gmail; пользователям "Яндекс.Почты" полезно знать, что равнозначными являются символы "-" и ".". При подобных манипуляциях связь Skype c почтой сохраняется, но злоумышленник не сможет получить доступ к аккаунту, если только не разгадает вашу хитрость.

Как быть тем, кто обнаружил, что не может зайти в скайп, уже после отключения функции сброса паролей, не совсем ясно. Сбросить пароль - с помощью этой формы - сейчас могут только те, кто за последние шесть месяцев хотя бы раз покупал у Skype платные услуги.

Пользователь ReaM, разместивший историю на "Хабрахабре", утверждает, что заметил уязвимость летом 2012 года и известил о ней службу технической поддержки Skype. Обнародовать данные о "дыре" он решил потому, что в течение нескольких месяцев ее так и не залатали.

Тот факт, что уязвимость появилась не вчера и не позавчера, подтверждают и сообщения на форуме Skype. Например, здесь (конец октября) пользователь сообщает, что у него увели аккаунт - похоже, что вышеописанным способом. Примечательно, что модераторы вместо того, чтобы провести проверку, журят несчастного за выбор "неправильной ветки" и советуют написать в саппорт. Здесь (конец августа) пользователь утверждает, что посторонние люди без его ведома связали логин в Skype с его почтовым адресом.

Собственно, "уязвимость в Skype" - это даже не уязвимость, а набор грубейших промахов. Почему пользователь может зарегистрировать аккаунт на почтовый ящик, не доказав, что он этим ящиком владеет (несмотря на многочисленные слезные просьбы пользователей ввести верификацию)? Почему "маркеры" для сброса пароля приходят не только в почту, но и в клиент Skype? И так далее. Сейчас же интереснее всего, что Microsoft будет делать с заварившейся кашей. "Skype осведомлен о сообщениях о взломе аккаунтов и в данный момент занимается исследованием проблемы", - говорится в русскоязычном Твиттере Skype. Англоязычный твиттер пока молчит - его ведут люди из США, которые только начали просыпаться.

В мае 2011 года, вскоре после объявления о покупке Skype корпорацией Microsoft, сервис на несколько часов прилег. Не произошло ничего фатального, но в интернете распространилась шутка про то, что Microsoft "внедрила в Skype фирменные баги". Оказалось, это не совсем шутка.

lenta.ru


Оффлайн Strateg

  • Global Moderator
  • V.I.P.
  • *****
  • Сообщений: 11423
  • Пол: Мужской
  • 戦略
  • Город: 56°56′51″N 24°06′23″E
Skype извинился и исправил ошибку сброса пароля

Сервис интернет-телефонии Skype устранил уязвимость, позволявшую получить доступ к чужому аккаунту. В блоге компании сказано, что команда Skype "провела обновление процесса сброса пароля, что наладило его работу". Сейчас, как и раньше, пользователь перенаправляется к форме для ввода электронной почты, указанной при регистрации.

Кроме того, компания извинилась и добавила, что оказывают поддержку небольшому числу пользователей, которым, возможно, пришлось столкнуться с неудобствами, сообщает CNews.ru.

Днем 14 ноября функция восстановления пароль была заблокирована после обнародования в начале этой недели способа "угона" любого аккаунта Skype - путем регистрации нового аккаунта с указанием адреса электронной почты существующего пользователя сервиса. Способ состоял в том, что после отправки запроса на смену пароля злоумышленник получал возможность сменить регистрационные данные аккаунта жертвы, включая пароль и электронную почту, с помощью которой можно восстановить доступ. О нем сообщили на хакерском форуме Xeksec. Сейчас этот форум недоступен, однако информация успела распространиться по другим интернет-ресурсам

Пользователь, который обнаружил уязвимость, утверждает, что сообщал о ней команде Skype два месяца назад, но разработчики никак не отреагировали. По данным с форума техподдержки Community.skype.com, данные об уязвимости были впервые опубликованы еще в июле текущего года, однако до сих пор она не была исправлена.

От действий взломщиков накануне, среди прочих, пострадали известные блоггеры Алексей Навальный, Антон Носик и Илья Варламов. Затем, правда, злоумышленники вернули аккаунты Навальному и Носику, а Варламов восстановил свою учетную запись самостоятельно