Нова слабинка Skype. Як просто і швидко вкрасти ваш акаунт
Місяців зо три тому я писав про цю критичну вразливість у Skype support, але вона досі не виправлена.
Відразу скажу, що саму уразливість я цілком не знаю, але останнім часом почалися масові викрадення аккаунтів.
ЧИТАЙТЕ ТАКОЖ: Microsoft закриє Live Messenger на користь Skype
Для реалізації атаки необхідно лише знати e-mail жертви.
Proof-of-Concept (копірайт)
1. Реєструємо новий скайп акк на мило жертви (там буде написано типу на це мило вже хтось зареєструвався).Не звертаємо уваги - заповнюємо далі.
2. Логін в скайп клієнт
3. Видаляємо всі куки, йдемо сюди і набиваємо мило жертви.
4. У скайп приходить повідомлення
6. Переходимо по посиланню і бачимо мило жертви і списки логінів зареєстрованих на це мило. Свій логін теж бачимо.
7. Вибираємо логін жертви і міняємо пароль
8. PROFIT
На пошті жертви листи з'являються приблизно в такій послідовності (партнери і знайомі надіслали скріншоти своїх поштових скриньок після злому):
Якщо Вам приходили подібні листи - є нагода насторожитися!
Єдиний спосіб захиститися на даний момент, це зареєструвати нову нікому не відому e-mail адресу і змінити через сайт скайпу основний e-mail аккаунта на новий.
Увага! Змінити через саму програму skype основний e-mail не можна! Тільки через сайт!
За останній тиждень 10 чоловік тільки з мого контакт листа зламали за допомогою цієї уразливості.
Я хочу попередити всіх якнайшвидше убезпечити себе, так як поки що Microsoft не приймає ніяких дій, подбайте про свою безпеку самі.
UPD: З'явився спосіб (PoC), як використовувати уразливість.
UPD 2: Офіційний коментар від представника Skype:
Ми отримали повідомлення про уразливість в системі безпеки Skype. В цілях безпеки наших користувачів ми тимчасово відключили функцію скидання пароля, також ми продовжуємо далі досліджувати це питання. Приносимо свої вибачення за незручність, безпека наших користувачів є нашим пріоритетом.
Оригінал: habrahabr.ru