Как взламывается Skype
Nov. 14th, 2012 04:16 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dolboedУ меня только что взломали Skype с использованием некоей принципиальной уязвимости сервиса, позволяющей третьим лицам получить код для смены пароля к любому аккаунту на произвольно выбранный почтовый адрес. То есть без взлома сервиса и без подбора паролей. Конкретный механизм, позволяющий это сделать, публиковать не хочу, могу лишь засвидетельствовать, что методика вполне себе рабочая.
Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен. В этом случае злоумышленник не сможет его вычислить и подобрать. А для эксплойта знание почтового адреса жертвы является необходимым условием.
Не берусь предположить, сколько времени потребуется администрации сервиса на заделывание этой дырки в системе. Просто предупреждаю всех заинтересованных лиц о её существовании.
PS. Поскольку никакого вандализма на моем аккаунте взломщик не учинял, Скайп мой по-прежнему доступен. И я им по-прежнему не пользуюсь. Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать).
Человек, который вломился в мой аккаунт, не стал устраивать там никакого вандализма, а просто позвонил мне в пятом часу утра, чтобы рассказать об использованной для взлома дырке. Мера защиты тут приходит в голову только одна: регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен, и никому, кроме владельца, не известен. В этом случае злоумышленник не сможет его вычислить и подобрать. А для эксплойта знание почтового адреса жертвы является необходимым условием.
Не берусь предположить, сколько времени потребуется администрации сервиса на заделывание этой дырки в системе. Просто предупреждаю всех заинтересованных лиц о её существовании.
PS. Поскольку никакого вандализма на моем аккаунте взломщик не учинял, Скайп мой по-прежнему доступен. И я им по-прежнему не пользуюсь. Все, что он делает — переброска звонков на текущий номер мобильного (актуально в путешествиях, чтобы за роуминг не переплачивать).
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2012-11-14 12:19 am (UTC)no subject
Date: 2012-11-14 12:20 am (UTC)no subject
Date: 2012-11-14 12:20 am (UTC)no subject
Date: 2012-11-14 12:28 am (UTC)no subject
Date: 2012-11-14 12:32 am (UTC)"регистрировать аккаунт Skype с такого адреса электронной почты, который нигде не засвечен"
Это, что, китайская грамота? Какой аккаунт не зарегестрируй (по первому утверждению), всё равно получишь йух, пусть он и неизвестен?
no subject
Date: 2012-11-14 12:34 am (UTC)А главное - хули предупреждать, если просто дырку латать надо.
От этого эксплойта нет способа защититься при существующих настройках защиты Скайпа.
no subject
Date: 2012-11-14 12:34 am (UTC)no subject
Date: 2012-11-14 12:37 am (UTC)no subject
Date: 2012-11-14 12:37 am (UTC)Перехват token возможен лишь в том случае, если взломщик ЗНАЕТ, какой email зарегистрирован у Вас в Skype. Если он этого не знает, то не может выдать себя за владельца аккаунта, и, соответственно, не может заказать token.
Email в Скайпе не публичен, в отличие от логина, но он доступен поиску по базе. От поиска спасает как раз не засвеченный email.
хули предупреждать, если просто дырку латать надо
Date: 2012-11-14 12:39 am (UTC)no subject
Date: 2012-11-14 12:41 am (UTC)no subject
Date: 2012-11-14 12:48 am (UTC)no subject
Date: 2012-11-14 12:52 am (UTC)Я ж поочередно получил все уведомления от сервера Skype - сперва сам token, потом сообщение о смене пароля, потом сообщение о новом адресе email.
То есть я в реальном времени мог наблюдать за тем, какие действия осуществлял взломщик с моим аккаунтом, и в какой последовательности.
Подлинность тех tokens, которые он использовал в процессе, как и факт их использования, мне подтвердил сервер Skype.
Какое уж тут внушение, все задокументировано до запятой.
no subject
Date: 2012-11-14 12:55 am (UTC)no subject
Date: 2012-11-14 12:58 am (UTC)Но опять же - откуда вы получали сообщения - чем подтверждено? А то я тоже могу от имени скайпа вам много всего прислать.
Ответы скайп-сервера - выглядит достоверно, но кто знает. То есть, лично я не знаю, как они должны выглядеть и кто их реально посылает – не было опыта. Возможно, у вас он есть, и вы точно знаете, что это скайп-сервер отвечает. Я без подколок, так размышляю.
no subject
Date: 2012-11-14 01:04 am (UTC)Можно, конечно, конспирологии ради предположить, что у тех сообщений, которые я получал - фейковый обратный адрес.
Но попробуйте тогда сгенерить такой token, про который бы Вам при заходе на Skype.com сказали, что он действительно существует, что он действительно сгенерирован для Вашего аккаунта, но уже для него использован.
Если Вы умеете такие токены генерить - значит, Вы умеете получать доступ к перехвату аккаунтов на сервере Скайпа, только и всего :)
no subject
Date: 2012-11-14 01:07 am (UTC)Скайп - самостоятельное ООО (S.a.r.l - Societe a Responsabilite Limitee) в Люксембурге, Microsoft там даже форму организации не поменял.
no subject
Date: 2012-11-14 01:08 am (UTC)no subject
Date: 2012-11-14 01:11 am (UTC)А токен по ссылке или вручную?
Ну, я в смысле, что если по ссылке, то куда он ведёт - одному чёрту известно. И что там дальше генерируется в виде ответа - тоже.
no subject
Date: 2012-11-14 01:13 am (UTC)no subject
Date: 2012-11-14 01:14 am (UTC)no subject
Date: 2012-11-14 01:15 am (UTC)no subject
Date: 2012-11-14 01:18 am (UTC)Я, всё же, о другом спросил. Но, будем считать, что ответ это включает.
no subject
Date: 2012-11-14 01:22 am (UTC)no subject
Date: 2012-11-14 01:26 am (UTC)И ответ сервера на этот токен не зависит от способа ввода