Выявлен бэкдор в Skype для Mac OS X


Mac OS XВ Skype для Mac OS X обнаружен бэкдор, позволяющий получить практически полный доступ к приложению без необходимости аутентификации. Уязвимость обнаружили эксперты компании Trustwave, которые заверили, что уязвимость существует по меньшей мере с 2010 года и может затрагивать порядка 30 млн. пользователей Mac.

Предполагается, что бэкдор в коде Skype Desktop API был создан случайным образом одним из разработчиков Skype еще до того, как компанию приобрела Microsoft.

Бэкдор позволяет атакующим:

  • записывать аудиозвонки;
  • извлекать контактную информацию пользователей;
  • читать контент входящих сообщений;
  • создавать новые чат-сессии;
  • модифицировать сообщения;
  • осуществлять другую вредоносную деятельность.


Skype Desktop API позволяет сторонним приложениям взаимодействовать со Skype. В обычных условиях стороннее приложение должно предоставить учетные данные, однако в данном случае процедуру аутентификации можно обойти.

Предположительно, бэкдор создавался для того, чтобы обеспечить старым версиям плагина Skype Dashboard Widget доступ к Desktop API без взаимодействия с пользователем. Данная вероятность выглядит довольно правдоподобно, поскольку Desktop API предусматривает недокументированный идентификатор клиента (Skype Dashbd Wdgt Plugin).

По словам исследователей, приложения могут получать неавторизованный доступ к Desktop API при условии использования "Skype Dashbd Wdgt Plugin" в качестве идентификатора клиента.

Также эксперты считают, что виджет не использует бэкдор для доступа к Desktop API. Это результат ошибки разработчиков, которую забыли исправить при работе над реализацией виджета. Скорее всего, в прошлом бэкдор использовался в течение некоторого времени, однако потом его прекратили эксплуатировать и просто оставили.


Обновлено (14.12.2016 18:54)