SharePoint Alfresco PHP MySQL
О сайте Контакты
среда, 14 ноября 2012 г.

Проблемы с безопасностью в Skype

skype-iconСегодня с коллегами узнали один преинтереcнейший факт о скайпе. Оказывается, скайп легко взломать и получить доступ к аккаунту и личной переписке любого абонента. Кратко о том, как это работало (скорее всего, дыру уже прикрыли и ничего повторить не удастся, но важен сам факт), эта статья.

Данная статья не предназначена для взлома каких-либо информационных систем и не содержит инструкций к этому. Описанное здесь предназначено для проектировщиков систем и программистов.

Смысл в том, что в скайпе у одного email может быть несколько аккаунтов. Также и к аккаунту можно проверить несколько емайл, один основной, остальные резервные. Первое сделано для удобства пользователя, а второе - вдруг кто потеряет единственный емайл.

Так вот, можно было зарегистрировать новый аккаунт на уже имеющийся в системе емайл. Система, конечно же, ругалась, но ее посылали куда подальше и она проглатывала емаил-дубликат.

Далее, прикидываемся, что мы забыли пароль и начинаем процедуру восстановления. Скайп добрый, он нам давал возможность выбрать из списка имеющихся у нас аккаунтов, к какому восстановить пароль. Выбрав аккаунт жертвы, мы получали ссылку на восстановление прямо в окно скайпа. То есть нам даже не нужен доступ к емайл жертвы. На тот емайл, конечно же, тоже придет письмо на восстановление, ну и что, доступ-то мы уже поимели и вошли в аккаунт жертвы, прочитав всю переписку.

Таким образом, чтобы взломать скайп нужно было знать только email жертвы, причем даже без пароля. Поэтому для скайпа рекомендуется установить такой емайл, о котором никто не знает.

Как программист и проектировщик я тут вижу явные ошибки проектирования:

  1. Емайл нужно валидировать всегда, то есть проверять, есть ли у нового пользователя к нему доступ или нет, и только потом туда что-то слать, а тем более ссылки на восстановление пароля.

  2. Если кто-то уже подтвердил емайл, то нельзя давать возможность создания аккаунта с таким же емайлом

  3. Если для восстановления пароля используется емайл, то не надо задействовать другой канал связи, в данном случае — мессенджер.

Надеюсь, разработчики майкрософт скоро разберутся с проблемой и устранят этот нелепый баг. А мы возьмем этот случай хозяйке на заметку: надо внимательнее проектировать.

Sergey Lysenko, среда, 14 ноября 2012 г.

Комментарии: