Θύελλα
έχει προκαλέσει η αποκάλυψη ενός κενού ασφάλειας στο Skype που επέτρεπε σε
οποιονδήποτε γνώριζε την διεύθυνση e-mail υποψήφιου θύματος να αποκτήσει τον
έλεγχο του λογαριασμού του στην πασίγνωστη υπηρεσία διαδικτυακής επικοινωνίας,
χωρίς γνώσεις χάκινγκ.
Η Microsoft, που αγόρασε πέρσι το Skype, ανταποκρίθηκε και έλαβε προσωρινά μέτρα μέχρι να κλείσει καλά την κερκόπορτα.
Η Microsoft, που αγόρασε πέρσι το Skype, ανταποκρίθηκε και έλαβε προσωρινά μέτρα μέχρι να κλείσει καλά την κερκόπορτα.
Το
πρόβλημα φέρεται να έχει αποκαλύψει πριν από τρεις μήνες Ρώσος προγραμματιστής,
ο οποίος επανήλθε στις 14 Νοεμβρίου 2012 επισημαίνοντας αφενός ότι δεν έχει
ακόμα διορθωθεί και αφετέρου προειδοποιώντας για τον κίνδυνο τους χρήστες του
Skype. Μάλιστα, τονίζει πως η παραβίαση έχει λάβει έκταση, με 10 άτομα μόνο στο
δικό του βιβλίο επαφών να έχουν πέσει θύματα «κατάληψης» των λογαριασμών τους
στο Skype. Στο Twitter αναφέρεται πως θύμα έπεσε και ο επικεφαλής της
αντιπολίτευσης στην Ρωσία.
To
κενό που εντόπισε ο Ρώσος προγραμματιστής βρισκόταν στην διαδικτυακή φόρμα
επαναφοράς του κωδικού εισόδου στην υπηρεσία. Το μόνο που χρειαζόταν να κάνει ο
επιτιθέμενος ήταν να δημιουργήσει ένα νέο Skype ID και να το συνδέσει με την
διεύθυνση e-mail του θύματος. Μετά, έπρεπε να ζητήσει την επαναφορά του κωδικού
πρόσβασης χρησιμοποιώντας την online φόρμα για το reset του password. Έτσι,
κλείδωνε εκτός Skype τον πραγματικό ιδιοκτήτη του λογαριασμού (αφού το password
είχε αλλάξει από τον επιτιθέμενο με επιτυχία). Το αποτέλεσμα ήταν να λαμβάνει
και να μπορεί να απαντά σε μηνύματα και κλήσεις προς το θύμα μέσω Skype.
Ο
Ρικ Φέργκιουσον από την εταιρεία λογισμικού και υπηρεσιών ασφάλειας Trend
Micro, δηλώνει πως το δοκίμασε και σε λίγα λεπτά το πείραμά του απέδωσε. Όπως
αναφέρει ο Φέργκιουσον η Microsoft έχει ανταποκριθεί στην σχετική αναφορά του
κενού ασφαλείας και ως προκαταρκτικό μέτρο κατέβασε την ιστοσελίδα επαναφοράς
password (disabled password reset), δηλαδή έχει προσωρινά απενεργοποιήσει την
δυνατότητα αλλαγής password. Η σελίδα Forgotten your password? δεν οδηγεί
πουθενά.
Σε
σχετικό blog post, ο ειδικός της Trend Micro καταλήγει στο συμπέρασμα πως δεν
υπάρχει απόλυτη ασφάλεια, αφού ακόμα και προσωπικά στοιχεία που έχουμε
συνηθίσει να δίνουμε χωρίς δεύτερη σκέψη μπορεί να χρησιμοποιηθούν εναντίον
μας, αναφερόμενος στην διεύθυνση e-mail.
www.in.gr
0 ΣΧΟΛΙΑ:
Δημοσίευση σχολίου