Χάκινγκ λογαριασμών στο Skype, χωρίς γνώσεις χάκερ, έρχεται στο φως

Δημοσιεύτηκε στις Νοε 15 2012 - 7:46πμ
Θύελλα έχει προκαλέσει η αποκάλυψη ενός κενού ασφάλειας στο Skype που επέτρεπε σε οποιονδήποτε γνώριζε την διεύθυνση e-mail υποψήφιου θύματος να αποκτήσει τον έλεγχο του λογαριασμού του στην πασίγνωστη υπηρεσία διαδικτυακής επικοινωνίας, χωρίς γνώσεις χάκινγκ. Η Microsoft, που αγόρασε πέρσι το Skype, ανταποκρίθηκε και έλαβε προσωρινά μέτρα μέχρι να κλείσει καλά την κερκόπορτα


Το πρόβλημα φέρεται να έχει αποκαλύψει πριν από τρεις μήνες Ρώσος προγραμματιστής, ο οποίος επανήλθε στις 14 Νοεμβρίου 2012 επισημαίνοντας αφενός ότι δεν έχει ακόμα διορθωθεί και αφετέρου προειδοποιώντας για τον κίνδυνο τους χρήστες του Skype. Μάλιστα, τονίζει πως η παραβίαση έχει λάβει έκταση, με 10 άτομα μόνο στο δικό του βιβλίο επαφών να έχουν πέσει θύματα «κατάληψης» των λογαριασμών τους στο Skype. Στο Twitter αναφέρεται πως θύμα έπεσε και ο επικεφαλής της αντιπολίτευσης στην Ρωσία.

To κενό που εντόπισε ο Ρώσος προγραμματιστής βρισκόταν στην διαδικτυακή φόρμα επαναφοράς του κωδικού εισόδου στην υπηρεσία. Το μόνο που χρειαζόταν να κάνει ο επιτιθέμενος ήταν να δημιουργήσει ένα νέο Skype ID και να το συνδέσει με την διεύθυνση e-mail του θύματος. Μετά, έπρεπε να ζητήσει την επαναφορά του κωδικού πρόσβασης χρησιμοποιώντας την online φόρμα για το reset του password. Έτσι, κλείδωνε εκτός Skype τον πραγματικό ιδιοκτήτη του λογαριασμού (αφού το password είχε αλλάξει από τον επιτιθέμενο με επιτυχία). Το αποτέλεσμα ήταν να λαμβάνει και να μπορεί να απαντά σε μηνύματα και κλήσεις προς το θύμα μέσω Skype. 

Ο Ρικ Φέργκιουσον από την εταιρεία λογισμικού και υπηρεσιών ασφάλειας Trend Micro, δηλώνει πως το δοκίμασε και σε λίγα λεπτά το πείραμά του απέδωσε. Όπως αναφέρει ο Φέργκιουσον η Microsoft έχει ανταποκριθεί στην σχετική αναφορά του κενού ασφαλείας και ως προκαταρκτικό μέτρο κατέβασε την ιστοσελίδα επαναφοράς password (disabled password reset), δηλαδή έχει προσωρινά απενεργοποιήσει την δυνατότητα αλλαγής password.Η σελίδα Forgotten your password? δεν οδηγεί πουθενά.

Σε σχετικό blog post, ο ειδικός της Trend Micro καταλήγει στο συμπέρασμα πως δεν υπάρχει απόλυτη ασφάλεια, αφού ακόμα και προσωπικά στοιχεία που έχουμε συνηθίσει να δίνουμε χωρίς δεύτερη σκέψη μπορεί να χρησιμοποιηθούν εναντίον μας, αναφερόμενος στην διεύθυνση e-mail.

Πηγή: in.gr