В Skype обнаружили критическую уязвимость
Создана: 14 Ноября 2012 Срд 13:46:12.
Раздел: "Средства интернет-общения"
Сообщений в теме: 10, просмотров: 4192
-
В сервисе голосовой и видеосвязи Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт, пишет пользователь блога "Хабрахабр". Для взлома необходимо знать только адрес электронной почты жертвы.
Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка.
Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля, чужой пароль можно поменять.
Процедуру взлома наглядно продемонстрировал на видео пользователь твиттера @asintsov (вскоре после публикации заметки ролик был удален и на данный момент недоступен. - Прим. "Ленты.ру"). Представители Skype пока никак не прокомментировали уязвимость, информация о ней распространяется только в Рунете.
Особенность уязвимости заключается в том, что взломщик не может полностью лишить владельца аккаунта доступа к нему, так как уведомление о смене пароля придет и на почтовый ящик того, чей аккаунт взломан. Единственным выходом из ситуации пользователи "Хабрахабра" называют перерегистрацию Skype на e-mail, который никто не знает и который не засвечен в базах.
Как написал в ЖЖ Антон Носик, с помощью этого способа взломали его аккаунт в Skype. О взломе своего аккаунта также написал блогер Илья Варламов.
[внешняя ссылка] -
-
Skype отключил функцию восстановления паролей
Сервис интернет-телефонии Skype временно отключил функцию восстановления паролей, которая ранее была доступна на сайте Skype. Поменять пароль от аккаунта, воспользовавшись этой ссылкой, теперь невозможно.
Восстановление пароля в Skype осуществлялось с помощью временных кодов (так называемых "маркеров пароля"). Если пользователь забывал пароль и запрашивал процедуру восстановления, ему на почту и в сам клиент приходил код, с помощью которого можно было задать новый пароль.
[внешняя ссылка] -
-
linuxmaster писал : Вот они, гримасы проприетарного ПО.
Не сгущайте краски. Это ошибка конкретных разработчиков.
p.s. Я люблю и использую GNU/Linux, и не являюсь агентом microsoft -
Немного не про уязвимость, но все же это напрямую связано со Skype
МВД и ФСБ могут прослушивать Skype без решения суда
Несколько участников рынка информационной безопасности заявили, что у российских спецслужб появилась возможность отслеживать разговоры в Skype – и уже достаточно давно.
«Ведомости» приводят слова гендиректора Group-IB Ильи Сачкова о том, что спецслужбы «уже пару лет» могут не только прослушивать, но и определять местоположение пользователя Skype.
«Именно поэтому сотрудникам нашей компании, например, запрещено общаться на рабочие темы в Skype», — сказал Сачков.
Другой директор – Максим Эмм из Peak Systems – рассказал, что когда Microsoft в мае 2011 ггода приобрела Skype, она снабдила клиента Skype технологией законного прослушивания: любого абонента можно переключить на специальный режим, при котором ключи шифрования, которые раньше генерировались на телефоне или компьютере абонента, генерируются на сервере. Имея доступ к серверу, можно слушать разговор или читать переписку. Эксперт пояснил, что Microsoft предоставляет возможность пользоваться этой технологией спецслужбам по всему миру, в том числе и российским.
Известно, что раньше глава российской Microsoft Николай Прянишников говорил, что Microsoft может раскрыть исходный код Skype Федеральной службе безопасности.
Официальные представители МВД и ФСБ не комментируют этот вопрос, но неназванный сотрудник МВД подтвердил изданию, что «считать, что прослушивание Skype представляет собой для российских правоохранительных органов непреодолимую проблему, нельзя».
Два эксперта по информационной безопасности рассказали газете, что доступ к переписке и разговорам в Skype российские спецслужбы не всегда получают по решению суда – иногда «просто по запросу».
Два неназванных российских предпринимателя, живущих в Лондоне, сообщили изданию, что им известно о возможностях прослушивания Skype, поэтому они пользуются сервисом «с большой осторожностью». Еще одни – основатель «Евросети» Евгений Чичваркин – сейчас поступает так же, но в 2009 году Skype обеспечивал конфиденциальность, считает он: Чичваркин пользовался им в момент обысков, которые происходили в «Евросети».
На этой неделе исследователь Джеффри Нокел из Университета Нью-Мексико установил, что в китайский дистрибутив Skype встроен кейлоггер — специальная программа, фиксирующая действия пользователя на клавиатуре. Она проверяет тексты на содержание в них нежелательных слов и пересылает собранные логии спецслужбе. Ученый сообщил, что «сигнальными» словами для китайского кейлоггера являются Тяньаньмэнь (название площади, где в 1989 году были кроваво подавлены протестные акции), Human Rights Watch, «Репортеры без границ», ВВС News и некоторые другие.
Взято с Ридуса