 |  |
|
חוקר אבטחה ישראלי: באג חדש בסקייפ עלול לאפשר להאקרים להשתלט על מחשבי המשתמשים
למשתמשי סקייפ מומלץ לנטרל את לשונית ה-SkypeFind | צלם: TheMarker
לדברי אביב ראף, פגם במאפיין ה-SkypeFind עלול לאפשר להאקרים להחדיר סקריפט זדוני למחשבים המריצים את התוכנה הפופולרית
03.02.08 | 15:55Security
חברת סקייפ תיקנה בשבוע שעבר נקודת תורפה קריטית שנתגלתה בתוכנת הטלפוניה הפופולרית שלה, אולם חוקר האבטחה הישראלי אביב ראף שגילה את הבאג טוען כי אין זה מספיק. לדבריו ניתן לעשות שימוש בפגם נוסף בתוכנה, הפעם במאפיין ה-SkypeFind, על מנת להחדיר סקריפט זדוני למחשבים המריצים אותה.
SkypeFind, מאפיין שהוכנס לראשונה לגרסת סקייפ 3.1, מאפשר למשתמשים להמליץ על בתי עסק ולכתוב עליהם ביקורות. "למרבה הצער, האקרים יכולים גם לעשות שימוש במאפיין זה על מנת להשתלט על מחשבים המריצים את התוכנה", כותב ראף בבלוג אותו הוא מנהל.
לדברי ראף, סקייפ שכחה לוודא את תקינותם של שמות המשתמשים הכותבים את הביקורות, ולכן האקרים יכולים להחליף את שמות הסקייפ שלהם בסקריפטים זדוניים. תוצאה עלולה להיות הרסנית - בכל פעם שקורבן ינסה לצפות בבית עסק שכולל ביקורת שנכתבה על ידי האקר, הקוד הזדוני יופעל.
סקייפ פרסמה היום הערת אבטחה שמאשרת את ממצאיו של ראף. החברה, שסבלה ממספר רב של נקודות תורפה בחודש האחרון, טוענת שתיקנה את רכיב ה-SkypeFind, אולם לא מסרה באילו צעדים בדיוק נקטה. החברה אינה מתכוונת לשחרר עדכוני תוכנה כלשהם.
סקייפ גם ניסתה להמעיט בחומרתו של האיום. "יש תנאי מקדים חשוב אחד על מנת שמתקפה שכזו תוכל לצאת אל הפועל", מסרה החברה. "הקורבן צריך לקבל ולאשר יצירת קשר עם חשבון הסקייפ של התוקף".
אולם ראף אינו מסכים. למרות שדברי החברה נכונים, קיימות לפחות שתי דרכים קלות עבור תוקפים לקבל אישור אוטומטי על בקשות יצירת קשר. שתי הדרכים מצריכות שימוש בסיסי יחסית בתהליכים שמסתמכים על ממשק תכנות היישומים (API) של תוכנת הסקייפ.
"הקורבן נכנס לאתר אינטרנט זדוני שבאופן אוטומטי מתקשר לתוקף באמצעות סקייפ", תיאר ראף ערוץ תקיפה אפשרי. "אלא שתוכנה מיוחדת על מחשבו של התוקף מיירטת את השיחה ומבטלת אותה. כעת התוכנה מחזיקה בשם המשתמש של הקורבן, וביכולתה לעשות שימוש בפונקצית הממשק User.IsAuthorize על מנת להשיג נתונים נוספים. "שניות מספר לאחר מכן האתר הזדוני פותח תיבת שיח של SkypeFind ומאפשר לתוקף להשתלט כליל על מחשבו של הקורבן".
ראף הפציר בסקייפ לנטרל כליל את מאפיין ה-SkypeFind עד שהחברה תתקן באופן יסודי את נקודת התורפה. "ללא שום סיבה טובה הם החליטו להתעלם מהעצה שלי", אמר.
מוקדם יותר בחודש ינואר דיווח ראף על נקודת תורפה חמורה נוספת בסקייפ אותה ניתן היה לנצל באמצעות מאפייני הווידאו של התוכנה. למרות שהחברה נטרלה לחלוטין את המאפיינים הללו בתגובה לדיווח, היא עדיין לא תיקנה את הבאג העומד בבסיס נקודות התורפה. "על מנת לתקן את הבעיה עליהם לבצע שינוי פשוט יחסית. אולם שינוי זה עלול לפגוע במאפיינים אחרים של התוכנה, וזו ככל הנראה הסיבה לעיכוב", טוען ראף.
בינתיים ממליץ ראף למשתמשי סקייפ לנטרל את לשונית ה-SkypeFind על ידי בחירה ב-View/Tab and panels, ולהסיר את הסימון מהאופציה "SkypeFind Tab". יש צורך גם לנטרל את הליך הטיפול בפרוטוקול ה-URI, זאת על ידי עריכת ה-registry של חלונות.
"זה משהו שאני ממליץ רק למשתמשים מתקדמים", אמר ראף. "משתמשים אחרים, שמעדיפים לא להתעסק עם ה-registry מומלץ שיסירו כליל את סקייפ, מכיוון שעצם קיומה של התוכנה על המחשב, גם את לא משתמשים בה, מעמיד אותו בסכנה.
ראף פרסם בבלוג שלו גם סרטון פלאש המדגים כיצד ניתן לבצע מתקפה באמצעות SkypeFind. גיא מזרחי, מומחה אבטחה נוסף הוא שיצר את הסרטון.
פורמט להדפסה
שלח באימייל
חזרה למעלה
עשרת הגדולים
- 1. סקירה: כל החידושים בחלונות 7
- 2. כשאהיה גדול אהיה סלב
- 3. בקרנות ההון סיכון משיבים אש: "בישראל מי שעושה כסף הוא פושע"
- 4. סנדיסק: הכרזות וחידושים בגזרת הפלאש
- 5. "המספר 58 מיליארד לא באמת חשוב לי"
- 6. EMC תפטר 2,400 עובדים; לנובו תפטר 2,500
- 7. בכירי ההון סיכון מושכים שכר של מיליון דולר בשנה מהקרנות
- 8. באלמר הכריז רשמית על גרסת בטא לחלונות 7
- 9. בכיר בתעשייה - השמועות על איחוד בין טלדור ל-One1: "שטויות במיץ עגבניות"
- 10. האינטרנט הישראלי נטול כרום
ראש צוות QA – פורטל דרושים
ניסיון בניהול צוותי QA לפחות שנתיים ניסיון בתקשורת – יתרון אופק ניהולי למצטיינים
Hardwareתוכניתן C++
תואר ראשון במדעי המחשב. לפחות שנה ניסיון בפיתוח C++. ניסיון בעבודה בסביבת Microsoft Visual Studio
Internet | Israeli Hi-Tech and Startups | Silicon Wadiדרושים מהנדסי תוכנה
פיתוח אפליקציות לעיבוד נתונים, ניתוחם והצגתם. בוגרי מתמטיקה, פיזיקה או מדעי המחשב
Internet | Israeli Hi-Tech and Startups | Silicon Wadiדרושים מתכנתי JAVA
נסיון של שנתיים בפיתוח Java/J2EE לפחות שנתיים נסיון בפיתוח Java בצד הserver
Internet | Israeli Hi-Tech and Startups | Silicon Wadi
