Ozbiljan bag u Skype-u omogućava lako preotimanje naloga

Vesti, 14.11.2012, 12:25 PM

Otkriven je novi bezbednosni propust u Skype-u koji omogućava bilo kome da promeni lozinku i preuzme nalog korisnika čiju email adresu koja je povezana sa Skype nalogom zna ili može da pretpostavi.

Detalji o ovom propustu objavljeni su na nekoliko ruskih hakerskih foruma, prvi put pre tri meseca, a stručnjaci kažu da se bag uveliko koristi.

Napadaču je dovoljno da zna email adresu žrtve koja je povezana sa Skype nalogom, da bi iskoristio propust. Ovo mu omogućava da resetuje lozinku naloga žrtve.

Preotimanje naloga započinje kada se napadač prijavi na novi Skype nalog koristeći email adresu drugog već registrovanog korisnika Skype-a. Pri tom napadaču nije potreban pristup email nalogu žrtve, već je dovoljno da zna email adresu.

Registrovanje naloga na ovaj način generiše upozorenje da je email adresa žrtve već korišćena za registraciju naloga, ali napadača ništa ne sprečava da otvori novi nalog. Od tog trenutka, napadač može da zatraži novu lozinku za žrtvin Skype nalog nakon čega on dobija priliku da resetuje lozinku jer se bezbednosni token šalje Skype klijentu napadača.

Naoružan tokenom, napadač može preuzeti zapise privatnih razgovora korisnika kompromitovanog naloga.

Prema poslednjim informacijama, Microsoft je privremeno onemogućio mehanizam za resetovanje lozinke zahvaljujući kome ovaj bag može biti zloupotrebljen. To je odlična vest jer stručnjaci kažu da je zahvaljujući ovom bagu preotimanje nečijeg naloga dečija igra.

Pre nego što je Skype reagovao onemogućavajući mehanizam za resetovanje lozinke, jedini način za zaštitu Skype naloga je bio zamena email adrese povezane sa Skype nalogom nekom za koju niko ne zna, koju nikada niste koristili ili koju je teško pretpostaviti.