Участник форума Xeksec опубликовал простой способ угона произвольного аккаунта Skype, не требующий навыков программирования. Для противодействия атаке рекомендуется сменить адрес электронной почты в регистрационных данных Skype. Пользователь форума Xeksec, использующий никнейм ReanimatoR сообщил о найденной им критической уязвимости сервиса Skype, позволяющей легко получить доступ к произвольному Skype-аккаунту.
По словам публикатора, два месяца назад он сообщал об обнаруженной «дыре» в службу поддержки Skype, однако, к настоящему времени разработчики не закрыли уязвимость.
Согласно записи ReanimatoR, для «угона» чужого аккаунта используются два неожиданных свойства регистрационного модуля Skype: злоумышленник в состоянии зарегистрировать дополнительный аккаунт на E-mail, указанный при регистрации аккаунта жертвы.
После отправки запроса на смену пароля хакер получает возможность сменить регистрационные данные Skype-аккаунта жертвы, включая пароль и электронную почту, с помощью которой можно восстановить доступ.
Для осуществления угона требуется знать только электронный адрес, на который зарегистрирован Skype жертвы.
Как пишет ReanimatoR, за последнюю неделю были взломаны Skype около 10 его знакомых.
По словам публикатора уязвимости, единственным действенным способом противодействия взлому изменение почтового адреса, на который зарегистрирован аккаунт на новый или никому не известный ящик. Это можно сделать в регистрационных данных Skype, которую можно осуществить на веб-странице сервиса. Предполагается, что при подборе нового ареса потенциальный взломщик будет испытывать затруднения.
Скриншот получения маркера пароля в процессе взлома чужого Skype
Некоторые читатели форума Xeksec в комментариях засвидетельствовали, что им удалось воспроизвести опыт взлома, однако большая их часть сообщает о неудаче при попытках угона аккаунтов Skype.
Тем временем интернет-эксперт и блогер Антон Носик минувшей ночью сообщил в своем ЖЖ, что его Skype был «только что» взломан. Взломщик прибег именно к описанной уязвимости, использующей смену пароля через произвольный почтовый адрес. Согласно записи Носика, взломщик сам сообщил ему о взломе, попутно подтвердив факт работоспособности описанной методики хака аккаунтов.