Уразливість в skype, що дозволяє викрасти всі облікові записи
|
|
Місяців зо три тому я писав про цю критичної уразливості в skype support, але вона до цих пір не виправлена (Вже виправлена).
Відразу скажу, що саму уразливість я цілком не знаю, але останнім часом почалися масові викрадення акаунтів.
Для реалізації атаки необхідно лише знати e-mail жертви.
Proof-of-Concept
- Реєструємо новий скайп акк на мило жертви (там буде написано типу на це мило вже хтось зарегиться). Чи не звертаємо уваги - заповнюємо далі.
- Логіном в скайп клієнт
- Видаляємо все куки, йдемо на вбиваємо мило жертви.
- В скайп приходить повідомлення:
- Переходимо по посиланню і бачимо мило жертви і списки логінів зареєстрованих на це мило. Свій логін теж бачимо.
- Вибираємо логін жертви і міняємо пароль
- PROFIT
На пошті жертви листи з'являються приблизно в такій послідовності (партнери і знайомі надіслали скріншоти своїх поштових скриньок після злому):
І ще інші приклади: | | | |
Якщо Вам приходили подібні листи - привід насторожитися!
Єдиний спосіб захиститися на даний момент це зареєструвати новий нікому не відомий e-mail адресу і змінити через основний e-mail облікового запису на новий.
Увага! Змінити через саму програму skype основний e-mail можна! Тільки через сайт!
За останній тиждень 10 осіб тільки з мого контакт листа зламали за допомогою цієї уразливості.
Я хочу попередити всіх якомога швидше убезпечити себе, так як поки що Microsoft не приймає ніяких дій, подбайте про свою безпеку самі.
UPD
З'явився спосіб (PoC), як використовувати уразливість: http://forum.xeksec.com/f13/t68922/#post98725
UPD2
Офіційний коментар від представника Skype:
Ми отримали повідомлення про уразливість в системі безпеки Skype. З метою безпеки наших користувачів ми тимчасово відключили функцію скидання пароля, також ми продовжуємо далі досліджувати це питання. Приносимо свої вибачення за незручність, безпеку наших користувачів є нашим першочерговим завданням.
Сподобалося? Підпишись на RSS новини!
Ви також можете підтримати shram.kiev.ua, тисніть:Не зайвим буде і твоїм друзям дізнатися цю інформацію, поділися з ними статтею!
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.