Как взламывается Skype

Nov. 14th, 2012 04:16 am
dolboed: (bolshoy gorod)
[personal profile] dolboed
У меня только что взломали Skype с использованием некоей принципиальной уязвимости сервиса, позволяющей третьим лицам получить код для смены пароля к любому аккаунту на произвольно выбранный почтовый адрес. То есть без взлома сервиса и без подбора паролей. Конкретный механизм, позволяющий это сделать, публиковать не хочу, могу лишь засвидетельствовать, что методика вполне себе рабочая.

Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен. В этом случае злоумышленник не сможет его вычислить и подобрать. А для эксплойта знание почтового адреса жертвы является необходимым условием.

Не берусь предположить, сколько времени потребуется администрации сервиса на заделывание этой дырки в системе. Просто предупреждаю всех заинтересованных лиц о её существовании.

PS. Поскольку никакого вандализма на моем аккаунте взломщик не учинял, Скайп мой по-прежнему доступен. И я им по-прежнему не пользуюсь. Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать).
  • Current Location: Москва, улица Серёгина
Tags:
  • Add Memory
  • Share This Entry
Page 1 of 2 << [1] [2] >>
Flat | Top-Level Comments Only

Date: 2012-11-14 12:19 am (UTC)
From: [identity profile] i-l-d.livejournal.com
Спасибо. На месте разработчиков Скайп, я бы исправил это в как можно более сжатые сроки.

Date: 2012-11-14 01:30 am (UTC)
sanmai: (Default)
From: [personal profile] sanmai
Пишут что уже отключили восстановление пароля.

http://habrahabr.ru/post/158545/
Edited Date: 2012-11-14 01:31 am (UTC)

(no subject)

From: [identity profile] ex-ergil.livejournal.com - Date: 2012-11-14 08:06 am (UTC) - Expand

Дыра осталась

From: [identity profile] news2ru.com - Date: 2012-11-14 09:42 am (UTC) - Expand

Date: 2012-11-14 12:20 am (UTC)
From: [identity profile] i-l-d.livejournal.com
Вообще какая-то дичайшая уязвимость, судя по вашему описанию.

Date: 2012-11-14 12:20 am (UTC)
From: [identity profile] dolboeb.livejournal.com
Да, трудно поверить, что такой детский способ позволяет сломать любой аккаунт в системе, которая так кичится своей защищенностью.
Edited Date: 2012-11-14 12:21 am (UTC)

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 12:34 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 12:52 am (UTC) - Expand

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 12:58 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 01:04 am (UTC) - Expand

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 01:11 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 01:14 am (UTC) - Expand

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 01:18 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 01:26 am (UTC) - Expand

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 01:32 am (UTC) - Expand

(no subject)

From: [identity profile] poulsam.livejournal.com - Date: 2012-11-14 02:56 am (UTC) - Expand

(no subject)

From: [identity profile] serge-sb.livejournal.com - Date: 2012-11-14 12:53 pm (UTC) - Expand

(no subject)

From: [identity profile] hacker.klever.net - Date: 2012-11-14 09:37 am (UTC) - Expand

(no subject)

From: [identity profile] alexanderbelov.livejournal.com - Date: 2012-11-14 12:55 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 01:07 am (UTC) - Expand

(no subject)

From: [identity profile] pr-woland.livejournal.com - Date: 2012-11-14 01:04 pm (UTC) - Expand

Date: 2012-11-14 12:28 am (UTC)
From: [identity profile] kutusha77.livejournal.com
так вроде, уже недели две-три назад, предупреждали об этом

Date: 2012-11-14 12:34 am (UTC)
From: [identity profile] dolboeb.livejournal.com
Я не получал никаких предупреждений.

А главное - хули предупреждать, если просто дырку латать надо.
От этого эксплойта нет способа защититься при существующих настройках защиты Скайпа.

(no subject)

From: [identity profile] whiskydaily.livejournal.com - Date: 2012-11-14 02:36 am (UTC) - Expand

Date: 2012-11-14 12:32 am (UTC)
From: [identity profile] fa-sharp.livejournal.com
"на произвольно выбранный почтовый адрес"

"регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен"

Это, что, китайская грамота? Какой аккаунт не зарегестрируй (по первому утверждению), всё равно получишь йух, пусть он и неизвестен?
Edited Date: 2012-11-14 12:35 am (UTC)

Date: 2012-11-14 12:37 am (UTC)
From: [identity profile] dolboeb.livejournal.com
Если Вы не можете сообразить, в чем состоит эксплойт, то Вам придется поверить мне на слово.

Перехват token возможен лишь в том случае, если взломщик ЗНАЕТ, какой email зарегистрирован у Вас в Skype. Если он этого не знает, то не может выдать себя за владельца аккаунта, и, соответственно, не может заказать token.

Email в Скайпе не публичен, в отличие от логина, но он доступен поиску по базе. От поиска спасает как раз не засвеченный email.
Edited Date: 2012-11-14 12:38 am (UTC)

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 12:48 am (UTC) - Expand

Date: 2012-11-14 12:37 am (UTC)
From: [identity profile] msav.livejournal.com
Спасибо, поменял адрес (как раз есть один технический) и предупредил друзей.

Date: 2012-11-14 01:56 am (UTC)
From: [identity profile] iphone5unlocker.livejournal.com
Присоединясь к спасибу!

Date: 2012-11-14 12:41 am (UTC)
From: [identity profile] liilliil.livejournal.com
tema@tema.ru — ломайте

Date: 2012-11-14 01:08 am (UTC)
From: [identity profile] real-svarog.livejournal.com
Спасибо, Антон. Поменял. Не приятная ситуация с этими дырами. Рай для вуайеристов какой-то.

Date: 2012-11-14 01:13 am (UTC)
From: [identity profile] fa-sharp.livejournal.com
"Неприятная" и "Симпатичный", а не "Симпотичный".

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 01:28 am (UTC) - Expand

(no subject)

From: [identity profile] fa-sharp.livejournal.com - Date: 2012-11-14 01:44 am (UTC) - Expand

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 02:00 am (UTC) - Expand

(no subject)

From: [identity profile] cober69.livejournal.com - Date: 2012-11-14 02:36 am (UTC) - Expand

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 02:39 am (UTC) - Expand

(no subject)

From: [identity profile] hacker.klever.net - Date: 2012-11-14 09:40 am (UTC) - Expand

(no subject)

From: [identity profile] smixer.livejournal.com - Date: 2012-11-14 02:30 am (UTC) - Expand

(no subject)

From: [identity profile] dolboeb.livejournal.com - Date: 2012-11-14 01:15 am (UTC) - Expand

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 01:22 am (UTC) - Expand

(no subject)

From: [identity profile] vovney.livejournal.com - Date: 2012-11-14 02:31 am (UTC) - Expand

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 02:35 am (UTC) - Expand

(no subject)

From: [identity profile] vovney.livejournal.com - Date: 2012-11-14 02:59 am (UTC) - Expand

(no subject)

From: [identity profile] real-svarog.livejournal.com - Date: 2012-11-14 03:16 am (UTC) - Expand

Date: 2012-11-14 02:28 am (UTC)
From: [identity profile] usoid.livejournal.com
В Windows 8 можно связать аккаунт в скайпе и учетную запись в Майкрософт. Все равно можно взломать?

Date: 2012-11-14 02:40 am (UTC)
From: [identity profile] cober69.livejournal.com
чем больше таких связей, тем легче вас ломать
используйте печатную машинку

(no subject)

From: [identity profile] vovney.livejournal.com - Date: 2012-11-14 02:58 am (UTC) - Expand
(deleted comment)

Date: 2012-11-14 04:09 am (UTC)
From: [identity profile] bagimot.livejournal.com
просто вы никому не нужны
но это не значит что такой дыры в скайпе нет
(deleted comment)

(no subject)

From: [identity profile] lexizli.livejournal.com - Date: 2012-11-14 08:10 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 08:14 am (UTC) - Expand

(no subject)

From: [identity profile] oleghka.livejournal.com - Date: 2012-11-14 08:53 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 09:15 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 07:13 am (UTC) - Expand
(deleted comment)

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 03:01 pm (UTC) - Expand
(deleted comment)

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 03:55 pm (UTC) - Expand
(deleted comment)

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 04:24 pm (UTC) - Expand

Date: 2012-11-14 03:44 am (UTC)
From: [identity profile] dbazhenov.livejournal.com
Неужели запятая?

Date: 2012-11-14 08:09 am (UTC)
From: [identity profile] fred2265.livejournal.com
Они должны решить этот вопрос быстро.ImageImageImage

Date: 2012-11-14 04:30 am (UTC)
From: [identity profile] ivan borzenkov (from livejournal.com)
А зачем вообще скайпом пользоваться? Он и раньше был фигней, а теперь когда его МС купила скатился окончательно. Ну есть же открытые протоколы :)

Date: 2012-11-14 06:41 am (UTC)
From: [identity profile] roma-grach.livejournal.com
Странные вы вопросы задаёте. А если большая часть ваших контактов для аудио-видео связи используют скайп, вы будете выпендриваться?

(no subject)

From: [identity profile] ivan borzenkov - Date: 2012-11-14 06:48 am (UTC) - Expand

(no subject)

From: [identity profile] sobaker.livejournal.com - Date: 2012-11-14 07:04 am (UTC) - Expand

(no subject)

From: [identity profile] ivan borzenkov - Date: 2012-11-14 07:33 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 07:41 am (UTC) - Expand

(no subject)

From: [identity profile] ivan borzenkov - Date: 2012-11-14 07:54 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 07:57 am (UTC) - Expand

(no subject)

From: [identity profile] ivan borzenkov - Date: 2012-11-14 08:02 am (UTC) - Expand

(no subject)

From: [identity profile] hacker.klever.net - Date: 2012-11-14 09:43 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 02:25 pm (UTC) - Expand

(no subject)

From: [identity profile] hacker.klever.net - Date: 2012-11-14 09:07 pm (UTC) - Expand

А если так...

Date: 2012-11-14 04:33 am (UTC)
From: [identity profile] blackcedric.livejournal.com
Есть более изящное средство,пользуюсь этим давно ,почта на Яндексе и при регистрации где либо, просто указываешь VasyaPupkin+skype@yandex.ru
т.е после имени пишем + и сервис где регистрируешься (можно что угодно писать).Мыло твоё известно, но что ты ввёл после плюса -неизвестно, это ещё помогает бороться со спамом т.к ты видишь на какой адрес приходят письма.Мыло Яндекса можно интерпретировать на yandex.ru ,com ,ua.Или
ya.com ,ya.ua ,ya.ru
Есть минусы ,не продвинутые сервисы не позволяют вставлять плюс.

Date: 2012-11-14 07:10 am (UTC)
From: [identity profile] 0trada.livejournal.com
в gmail таким давно пользуюсь, не знала что яндекс тоже умеет. Но таки да, жырный минус — многие сервисы не понимают плюс

(no subject)

From: [identity profile] 4rex.livejournal.com - Date: 2012-11-14 10:29 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 02:20 pm (UTC) - Expand

Date: 2012-11-14 04:58 am (UTC)
From: [identity profile] domashnyaya.livejournal.com
Значит единственная защита от такого взлома - регистрировать с незасвеченным е-мейл? Надо будет поменять, спасибо за информацию.

Date: 2012-11-14 05:39 am (UTC)
From: [identity profile] geish-a.livejournal.com
Так почту тоже взломали, или как код получили?

Date: 2012-11-14 07:12 am (UTC)
From: [identity profile] 0trada.livejournal.com
код приходит в клиент скайпа

(no subject)

From: [identity profile] oleghka.livejournal.com - Date: 2012-11-14 08:54 am (UTC) - Expand

(no subject)

From: [identity profile] 0trada.livejournal.com - Date: 2012-11-14 09:21 am (UTC) - Expand

Date: 2012-11-14 05:55 am (UTC)
From: [identity profile] rgrebenkin.livejournal.com
"Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать)"

А можно поподробнее?

Date: 2012-11-27 12:16 am (UTC)
From: [identity profile] anviza.livejournal.com
Там есть услуга переадресации входящих Skype-звонков на произвольный телефонный номер, например, купленную по приезду в новую страну местную симку. Стоит денег, поминутно, но небольших, что-то вроде стоимости исходящих на этот номер со скайпа.

(no subject)

From: [identity profile] rgrebenkin.livejournal.com - Date: 2012-11-27 05:42 am (UTC) - Expand

(no subject)

From: [identity profile] anviza.livejournal.com - Date: 2012-11-27 10:53 am (UTC) - Expand

(no subject)

From: [identity profile] rgrebenkin.livejournal.com - Date: 2012-11-27 11:33 am (UTC) - Expand

Законопроект о человеческих жертвоприношениях

Date: 2012-11-14 06:35 am (UTC)
From: [identity profile] yuriy pol (from livejournal.com)
Подарок избирателям от депутатов ЛДПР – Законопроект о человеческих жертвоприношениях. Цитата: «…2.1 Молитвенный обряд, а также религиозные обряды, сопряженные с насильственными действиями в отношении человека или животного беспрепятственно совершаются в культовых зданиях и сооружениях, местах и объектах, специально предназначенных для богослужений, молитвенных и религиозных собраний, религиозного почитания (паломничества), в учреждениях и на предприятиях религиозных организаций, а также в жилых помещениях.»

По ссылке подробности и ПРУФ http://darislav.com/news/1249-chel-jertva.html

Date: 2012-11-14 06:38 am (UTC)
From: [identity profile] roma-grach.livejournal.com
Вчера на хабре читал про это. При этом администрацию скайпа уведомили об этой уязвимости давно, однако они видимо игнорируют проблемы.

Нормальные сервисы для роуминга?

Date: 2012-11-14 06:53 am (UTC)
From: [identity profile] av-bug.livejournal.com
Антон, а чего не пользуешься нормальными телефонными сервисами типа Youmagic или SIPNet?

Date: 2012-11-14 06:59 am (UTC)
From: [identity profile] iskander.livejournal.com
вывод:
давно надо завести тех. е-маил для регистраций

кому не охота конечно - вечно волнуйтесь )))
зачастую почтовые сервисы сами не очень - со всеми этими восстановить паролями через имя любимой собаки - так что засвеченный е-маил использовать для регистраций впринципе не очень

Date: 2012-11-14 07:19 am (UTC)
From: [identity profile] just-feel-you.livejournal.com
какой вежливый взломщик. Взломал - предупредил. Пусть даже в пятом часу утра)

Date: 2012-11-14 07:32 am (UTC)
From: [identity profile] http://users.livejournal.com/_cmeptb_/
Всякая вещь попадая к микрософту - немедленно портится.
Может к консерватории что-то подправить?

Date: 2012-11-14 09:46 am (UTC)
From: [identity profile] hacker.klever.net (from livejournal.com)
Красиво звучит, но мне действительно до чёртиков любопытно было ли это всегда или появилось после покупки.

(no subject)

From: [identity profile] pr-woland.livejournal.com - Date: 2012-11-14 01:13 pm (UTC) - Expand

Date: 2012-11-14 07:44 am (UTC)
From: [identity profile] sabmiller84.livejournal.com
а как перебрасывать звонки и экономить в роуминге. не совсем понял

Date: 2012-11-21 06:22 am (UTC)
From: [identity profile] serge-yakovlev.livejournal.com
http://www.skype.com/intl/ru/features/allfeatures/call-forwarding/

Date: 2012-11-14 07:54 am (UTC)
From: [identity profile] amber-style.livejournal.com
Skype в курсе и в данный момент исследует эту проблему.
Пресс-служба Skype.

Date: 2012-11-14 08:12 am (UTC)
From: [identity profile] lexizli.livejournal.com
Пока еще работает дырка. Проверил.

Date: 2012-11-14 08:49 am (UTC)
From: [identity profile] oleghka.livejournal.com
Вам прямо в Skype пришел маркер пароля? Мне только на мыло приходит.

(no subject)

From: [identity profile] lexizli.livejournal.com - Date: 2012-11-14 11:27 am (UTC) - Expand

(no subject)

From: [identity profile] oleghka.livejournal.com - Date: 2012-11-14 11:33 am (UTC) - Expand

Date: 2012-11-14 08:44 am (UTC)
From: [identity profile] ae-krylov.livejournal.com
ОФФТОП

А подскажите, раз пошла такая пьянка, как через СКАЙП переадресовывать звонки на мобильный. Только пошагово, пжст., для необразованных.
Заранее мерси.
  • Add Memory
  • Share This Entry
Page 1 of 2 << [1] [2] >>
Flat | Top-Level Comments Only

Profile

dolboed: (Default)
Anton Nossik
Disclaimer !!!

April 2017

S M T W T F S
       1
23 45678
9 10 11 12 13 14 15
16 17 18 19 202122
23 24 25 26 27 2829
30      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 17th, 2026 03:47 am
Powered by Dreamwidth Studios