В Skype для Mac OS X обнаружен бэкдор

В Skype для Mac OS X обнаружен бэкдор, позволяющий получить практически полный доступ к приложению без необходимости аутентификации. По словам экспертов компании Trustwave, уязвимость существует по меньшей мере с 2010 года и может затрагивать порядка 30 млн пользователей Mac.

По всей видимости, бэкдор в коде Skype Desktop API был случайно создан одним из разработчиков Skype еще до того, как компанию приобрела Microsoft. Бэкдор позволяет атакующим записывать аудиозвонки, извлекать контактную информацию пользователей, читать контент входящих сообщений, создавать новые чат-сессии, модифицировать сообщения и осуществлять другую вредоносную деятельность.

Skype Desktop API позволяет сторонним приложениям взаимодействовать со Skype. В обычных условиях стороннее приложение должно предоставить учетные данные, однако исследователи Trustwave обнаружили, что процедуру аутентификации можно обойти.

Предположительно, бэкдор создавался для того, чтобы обеспечить старым версиям плагина Skype Dashboard Widget доступ к Desktop API без взаимодействия с пользователем. Данная вероятность выглядит довольно правдоподобно, поскольку Desktop API предусматривает недокументированный идентификатор клиента (Skype Dashbd Wdgt Plugin).

По словам исследователей, приложения могут получать неавторизованный доступ к Desktop API при условии использования «Skype Dashbd Wdgt Plugin» в качестве идентификатора клиента.

Согласно словам экспертов, виджет не использует бэкдор для доступа к Desktop API. «Вполне возможно, что бэкдор - это результат ошибки разработчиков, которую забыли исправить при работе над реализацией виджета. Скорее всего, в прошлом бэкдор использовался в течение некоторого времени, однако потом его прекратили эксплуатировать и просто оставили», - отмечают исследователи.