Hibás a telefonszámok ellenőrzése a Skype-ban

Kristóf Csaba
2011. július 19., 08:08
Nyomtatás
Egy német biztonsági kutató a Skype esetében egy olyan hibát fedezett fel, amely felhasználók jelszavainak illetéktelen személyek által történő megváltoztatásához járulhat hozzá.

A biztonsági kutatók - hasonlóan a kiberbűnözéshez - folyamatosan rajta tartják a szemüket az olyan népszerű alkalmazásokon, illetve szolgáltatásokon, mint amilyen a Skype. Levent Kayan berlini kutató is azon szakemberek közé tartozik, akik szeretik alaposabban górcső alá venni a különféle szoftvereket. Kayan néhány nappal ezelőtt az interneten arról számolt be, hogy a Skype esetében egy meglehetősen veszélyes sebezhetőségre bukkant, amely jogosulatlan műveletek végrehajtására adhat lehetőséget azok számára, akik Skype felhasználói fiókokhoz akarnak hozzáférést szerezni, vagy adatokat próbálnak manipulálni.

Kayan szerint a Skype egy XXS (cross site scripting) sérülékenységet rejt, amelyet a mobiltelefonszám megadására szolgáló mezőn keresztül lehet kihasználni. Amennyiben ebbe a mezőbe speciálisan szerkesztett kód kerül, akkor az az interneten megosztott profiladatok között nemcsak megjelenik, hanem le is fut. Vagyis a támadók tetszőleges JavaScript kódokat futtathatnak, és webes munkamenetekhez férhetnek hozzá. A kutató úgy véli, hogy a sebezhetőség révén egyes esetekben lehetőség nyílhat arra, hogy illetéktelen személyek jelszavakat változtassanak meg a kiszemelt felhasználói fiókok tulajdonosainak tudta nélkül.

A biztonsági rés kihasználása azonban nem minden esetben valósítható meg. Kayan elmondta, hogy a támadókódok sokszor nem hajtódnak végre egyszerre, ezért többszöri bejelentkezésre lehet szükség. Emellett a támadónak és az áldozatnak a Skype rendszerén belül "ismernie" kell egymást.

A Skype megerősítette a sebezhetőség létezését, ugyanakkor azt nem tartja annyira kockázatosnak, mint Kayan. Az azonnali üzenetküldő fejlesztői szerint ugyanis a hiba leginkább nemkívánatos üzenetek megjelenítéséhez vagy webes átirányításokhoz járulhat hozzá. De ez utóbbi esetben is „csak" a Skype egyes webhelyein belül van mód az átirányítások kikényszerítésére.

"Ahhoz, hogy az exploit működjön a támadónak olyan áldozatot kell választania, amellyel gyakran veszi fel a kapcsolatot. Valószínűtlen, hogy ez a hiba a való világban bármilyen problémát fog okozni. Ennek ellenére nem szabadna a rendszerben lennie, ezért javítani fogjuk" - mondta Adrian Asher, a Skype biztonsági vezetője.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.