В Skype для Mac-версии найден бэкдор, позволяющий получить практически полный доступ к приложению без необходимости аутентификации,
сообщает Trustwave.
По словам экспертов компании Trustwave, уязвимость существует с 2010 года, еще до того, как компанию приобрела Microsoft. Бэкдор в коде Skype Desktop AP может затрагивать порядка 30 миллионов пользователей Mac.
Skype Desktop API разрешает сторонним приложениям взаимодействовать со Skype. Обычно, стороннее приложение должно предоставлять для этого учетные данные, но специалисты Trustwave обнаружили, что процедуру аутентификации можно обойти.
Исследователи предполагают, что данный бэкдор создавался для обеспечения старым версиям плагина Skype Dashboard Widget доступ к Desktop API без взаимодействия с пользователем.
«Вполне возможно, что бэкдор — это результат ошибки разработчиков, которую забыли исправить при работе над реализацией виджета. Скорее всего, в прошлом бэкдор использовался в течение некоторого времени, однако потом его прекратили эксплуатировать и просто оставили», — отмечают исследователи.
Данный бэкдор позволяет злоумышленникам записывать аудиозвонки, извлекать контактную информацию пользователей, читать переписку, создавать новые чат-сессии, модифицировать сообщения и осуществлять любую вредоносную деятельность. При этом пользователь не замечает никаких изменений и не подозревает о слежке за ним.
По данной проблеме специалисты Trustwave настоятельно рекомендуют обновить Skype всем, кто давно этого не делал.
Комментарии0
Оставить комментарий