Критическая уязвимость в Skype позволяет взломать любой аккаунт
В сервисе голосовой и видеосвязи Skype обнаружена критическая уязвимость, позволяющая «угнать любой аккаунт». Об этом сообщает пользователь блога «Хабрахабр».
«Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена», – отмечает интернет-пользователь.
В последнее время начались массовые кражи аккаунтов. Для атаки необходимо знать лишь логин в Skype и e-mail жертвы.
----------------------<cut>----------------------
Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена(Уже исправлена).
Сразу скажу, что саму уязвимость я целиком не знаю(уже известна), но в последнее время начались массовые угоны аккаунтов.
Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы.
Proof-of-Concept ( копирайт forum.xeksec.com/f13/t68922/#post98725 )
1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
2. Логинимся в скайп клиент
3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
4. В скайп приходит уведомление
6. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
7. Выбираем логин жертвы и меняем пароль
8. PROFIT
На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):
Если Вам приходили подобные письма — повод насторожиться!
Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.
Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!
За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.
Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.
UPD
Появился способ(PoC), как использовать уязвимость:
http://forum.xeksec.com/f13/t68922/#post98725
UPD2
Официальный комментарий от представителя Skype:
Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.
4
