Угнать и поменять

В Skype нашли серьезную уязвимость

Пользователи обнаружили в сервисе интернет-телефонии Skype уязвимость, которая позволяет получить доступ к контактам и в некоторых случаях к переписке другого пользователя. "Дыра" также дает возможность поменять чужой пароль, закрыв жертве доступ в Skype. Пока интернетчики на интерес ломали чужие аккаунты, администрация Skype неспешно занималась "исследованием проблемы".

Описание "дыры" в Skype появилось вечером 13 ноября на форуме xeksec.com. Через несколько часов автор сообщения опубликовал рассказ про уязвимость и на популярном "Хабрахабре". К следующему утру пост успел набрать более ста тысяч просмотров и несколько сотен комментариев - получить доступ к чужим данным в Skype описанным в сообщении путем оказалось впечатляюще просто.

Способ базируется на существующей в Skype возможности завести несколько аккаунтов на один и тот же адрес электронной почты. Например, Вася, владелец ящика vasya.ivanov@domain.ru, может создать себе в скайпе аккаунты vasya_narabote, vasya_doma и vasya_votpuske и привязать их к одному и тому же электронному адресу. Для доступа к аккаунтам Вася может использовать один и тот же пароль или три разных, но это уже не так важно.

В принципе ничего крамольного в такой системе нет, но благодаря ей вскрылась череда недоработок в Skype, способная привести в ужас не только IT-профессионала, но и рядового пользователя.

Зайдем на главную страницу сайта Skype и притворимся, что хотим зарегистрировать нового пользователя. Для этого мы нажмем кнопку "Регистрация". Появится стандартная форма, где нам предложат чуть-чуть рассказать о себе. Расскажем, но в графе "Адрес электронной почты" укажем не свой адрес, а адрес Васи. Придумаем себе логин - например, vasya_vzlom - и пароль.

Согласие настоящего Васи на создание нового аккаунта с его адресом электронной почты, как выясняется, вовсе не требуется. Не проводится никаких проверок - неважно, что в аккаунтах Васи год рождения - 1978, а у нас - 1982. Неважно, что Вася указал, что живет в Самаре, а мы в анкете при регистрации выбрали Москву. Аккаунт все равно будет создан. Секретные вопросы? Подтверждение на почту? Прошлый век, забудьте.

Итак, мы имеем на руках логин vasya_vzlom и пароль. Запускаем Skype, вводим логин и пароль, успешно заходим. Никаких Васиных данных мы не видим - это новый, чистый аккаунт. Но это не конец истории. Снова прикинемся Васей, пройдем по этой ссылке (после 13:40 по Москве не работает) и скажем скайпу, что мы забыли пароль. Skype попросит нас ввести почту (снова наберем vasya.ivanov@domain.ru), а потом возьмет под козырек и пришлет нам "маркер пароля" - иначе говоря, код, который позволит поменять пароль.

Дальше начинается самое интересное. "Маркер пароля" упадет не только в почтовый ящик Васи (который, возможно, мирно спит и проверит его еще нескоро), но и в наш клиент Skype, который мы запустили в предыдущем абзаце. О том, что код пришел, мы узнаем из всплывающего уведомления в правом нижнем углу экрана.

Проходим по ссылке в уведомлении и - вуаля! - получаем право поменять пароль не только к самодеятельному аккаунту vasya_vzlom, но и к кровным Васиным vasya_narabote, vasya_doma и vasya_votpuske.

Проснувшийся к тому моменту Вася сонно хлопает глазами и недоумевает, почему автоматически запустившийся Skype сообщает ему, что пароль введен неверно.

Войдя в Skype под любым из Васиных логинов, мы получим доступ к списку его контактов, к истории звонков и к личным сообщениям. В Skype для Windows возможно посмотреть переписку за последние 30 дней - этого более чем достаточно, чтобы узнать о Васе что-то новое.

Пост с описанием метода взлома аккаунтов опубликовали на "Хабрахабре" 13 ноября в 23:49 по московскому времени. Аттракцион с рассылкой "маркеров" Microsoft прикрыла примерно в 13:40 14 ноября, просто отключив опцию сброса паролей. Сколько аккаунтов увели за 14 часов, пока работала опция, неизвестно.

Судя по комментариям на "Хабре", взлом принял характер игры - сначала пользователи проверяли, работает ли способ, на личном skype-аккаунте, потом переключались на аккаунты друзей или известных людей. Азарта взломщикам придавал еще и тот факт, что запрашивать "маркер пароля" можно было ограниченное количество раз - кто успел последним, за тем и остаются права на аккаунт. Жертвами атаки в числе прочих стали блогеры Антон Носик, Илья Варламов и Алексей Навальный (последнему, правда, к таким вещам не привыкать). Все обошлось вполне мирно - Носику и Навальному аккаунты вернули сами же взломщики, Варламову не стали менять пароль, и он выполнил процедуру "восстановления" самостоятельно.

Спастись от возможного взлома можно было двумя методами - либо установив в настройках Skype в качестве основной почты нигде не засвеченный, никому не известный ящик, либо не заморачиваться с созданием новой почты и просто прибавить к старому адресу символ "плюс" и любое слово (vasya+luboe.slovo@gmail.com) или "разбавить" логин точками (v.as.ya@gmail.com). Эти уловки действуют для ящиков на Gmail; пользователям "Яндекс.Почты" полезно знать, что равнозначными являются символы "-" и ".". При подобных манипуляциях связь Skype c почтой сохраняется, но злоумышленник не сможет получить доступ к аккаунту, если только не разгадает вашу хитрость.

Как быть тем, кто обнаружил, что не может зайти в скайп, уже после отключения функции сброса паролей, не совсем ясно. Сбросить пароль - с помощью этой формы - сейчас могут только те, кто за последние шесть месяцев хотя бы раз покупал у Skype платные услуги.

Пользователь ReaM, разместивший историю на "Хабрахабре", утверждает, что заметил уязвимость летом 2012 года и известил о ней службу технической поддержки Skype. Обнародовать данные о "дыре" он решил потому, что в течение нескольких месяцев ее так и не залатали.

Тот факт, что уязвимость появилась не вчера и не позавчера, подтверждают и сообщения на форуме Skype. Например, здесь (конец октября) пользователь сообщает, что у него увели аккаунт - похоже, что вышеописанным способом. Примечательно, что модераторы вместо того, чтобы провести проверку, журят несчастного за выбор "неправильной ветки" и советуют написать в саппорт. Здесь (конец августа) пользователь утверждает, что посторонние люди без его ведома связали логин в Skype с его почтовым адресом.

Собственно, "уязвимость в Skype" - это даже не уязвимость, а набор грубейших промахов. Почему пользователь может зарегистрировать аккаунт на почтовый ящик, не доказав, что он этим ящиком владеет (несмотря на многочисленные слезные просьбы пользователей ввести верификацию)? Почему "маркеры" для сброса пароля приходят не только в почту, но и в клиент Skype? И так далее. Сейчас же интереснее всего, что Microsoft будет делать с заварившейся кашей. "Skype осведомлен о сообщениях о взломе аккаунтов и в данный момент занимается исследованием проблемы", - говорится в русскоязычном Твиттере Skype. Англоязычный твиттер пока молчит - его ведут люди из США, которые только начали просыпаться.

В мае 2011 года, вскоре после объявления о покупке Skype корпорацией Microsoft, сервис на несколько часов прилег. Не произошло ничего фатального, но в интернете распространилась шутка про то, что Microsoft "внедрила в Skype фирменные баги". Оказалось, это не совсем шутка.