WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Skype dành cho máy Mac từ lâu đã tồn tại backdoor
Phần mềm Skype của Microsoft dành cho các hệ điều hành MacOS và OS X của Apple có một giao diện lập trình ứng dụng (API) có thể bị sử dụng để theo dõi thông tin người dùng.
Các nhà phân tích SpiderLabs của Trustwave phát hiện API desktop cho phép các plugin và ứng dụng của bên thứ ba giao tiếp với Skype có thể bị sử dụng để dễ dàng vượt qua cơ chế xác thực.
Ứng dụng độc hại của bên thứ ba có thể vượt qua cơ chế xác thực bằng cách tự xưng là chương trình có trách nhiệm giao tiếp với API desktop, thay mặt cho plug-in Skype dashboard widget.
Kẻ tấn công chỉ cần thay đổi một chuỗi văn bản trong các ứng dụng với giá trị "Skype Dashbd Wdgt Plugin", và API desktop sẽ cấp quyền truy cập vào các tính năng nhạy cảm của Skype.
Trustwave cũng cung cấp bằng chứng là một đoạn mã Objective-C khởi đầu quy trình kết nối để đính kèm vào Skype mà không cần người dùng cho phép:
Dù các phiên bản sau của API desktop loại bỏ quyền truy cập vào tin nhắn văn bản, API desktop vẫn cung cấp quyền truy cập vào các thông báo tin nhắn đến và nội dung.
API desktop cũng có thể được sử dụng để sửa đổi các tin nhắn, tạo ra các phiên trò chuyện, và lấy danh bạ người dùng. Các cuộc gọi có thể được lưu lại, và âm thanh được ghi vào đĩa hệ thống cục bộ.
Theo Trustwave, tất cả các phiên bản của Skype cho hệ điều hành MacOS/OS X - bao gồm cả phiên bản gần đây nhất 7.35 – đều tồn tại lỗ hổng.
Microsoft được thông báo về lỗ hổng trong tháng 10, và đã vá lỗ hổng trong Skype 7.37 và các phiên bản sau đó.
API desktop đã có mặt trong Skype cho Mac hơn 5 năm và đang dần được loại bỏ.
Trustwave cho rằng backdoor được ngẫu nhiên đưa vào Skype, vì Skype dashboard widget không sử dụng backdoor đó.
Nhà nghiên cứu Adam Boileau của Insomnia Security thì nghi ngờ đây là một backdoor cố ý.
Người dùng Skype trên Mac được khuyến cáo cập nhật Skype lên phiên bản 7.37 và các phiên bản sau đó để tránh bị tấn công qua lỗ hổng này.
Các nhà phân tích SpiderLabs của Trustwave phát hiện API desktop cho phép các plugin và ứng dụng của bên thứ ba giao tiếp với Skype có thể bị sử dụng để dễ dàng vượt qua cơ chế xác thực.
Ứng dụng độc hại của bên thứ ba có thể vượt qua cơ chế xác thực bằng cách tự xưng là chương trình có trách nhiệm giao tiếp với API desktop, thay mặt cho plug-in Skype dashboard widget.
Kẻ tấn công chỉ cần thay đổi một chuỗi văn bản trong các ứng dụng với giá trị "Skype Dashbd Wdgt Plugin", và API desktop sẽ cấp quyền truy cập vào các tính năng nhạy cảm của Skype.
Trustwave cũng cung cấp bằng chứng là một đoạn mã Objective-C khởi đầu quy trình kết nối để đính kèm vào Skype mà không cần người dùng cho phép:
Dù các phiên bản sau của API desktop loại bỏ quyền truy cập vào tin nhắn văn bản, API desktop vẫn cung cấp quyền truy cập vào các thông báo tin nhắn đến và nội dung.
API desktop cũng có thể được sử dụng để sửa đổi các tin nhắn, tạo ra các phiên trò chuyện, và lấy danh bạ người dùng. Các cuộc gọi có thể được lưu lại, và âm thanh được ghi vào đĩa hệ thống cục bộ.
Theo Trustwave, tất cả các phiên bản của Skype cho hệ điều hành MacOS/OS X - bao gồm cả phiên bản gần đây nhất 7.35 – đều tồn tại lỗ hổng.
Microsoft được thông báo về lỗ hổng trong tháng 10, và đã vá lỗ hổng trong Skype 7.37 và các phiên bản sau đó.
API desktop đã có mặt trong Skype cho Mac hơn 5 năm và đang dần được loại bỏ.
Trustwave cho rằng backdoor được ngẫu nhiên đưa vào Skype, vì Skype dashboard widget không sử dụng backdoor đó.
Nhà nghiên cứu Adam Boileau của Insomnia Security thì nghi ngờ đây là một backdoor cố ý.
Người dùng Skype trên Mac được khuyến cáo cập nhật Skype lên phiên bản 7.37 và các phiên bản sau đó để tránh bị tấn công qua lỗ hổng này.
Theo ITNews
Chỉnh sửa lần cuối bởi người điều hành: