Очередная дыра в системе безопасности Skype


    ПРЕДИСЛОВИЕ

    Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе.

    Через эту дыру невозможно взломать скайп аккаунт, однако последствия могут быть еще печальнее. В системе безопасности скайпа есть такой сервис, нажав правой кнопкой мышки на контакте, из контекстного меню можно выбрать пункт «Заблокировать этого пользователя» и поставить галочку в пункте «Сообщить о нарушении правил этим абонентом».



    Этот сервис прекрасно работает и помогает в борьбе со спамом. Но как всегда нашлись «предприимчивые» пользователи и теперь используют этот сервис в «борьбе с неугодными» пользователями скайпа. Как это работает — можно сделать поиск по логину и непосредственно из поиска блокировать и репорт делать или, зная логин, просто вызывать меню через skype:insert_username_here?menu.

    По предварительным подсчетам достаточно 9 (возможно больше) таких жалоб и аккаунт автоматически блокируется. Сейчас эти новоявленные «хакеры» уже собираются в группы, размещают через соц. сети информацию какой аккаунт нужно заблокировать и он блокируется в течение очень короткого времени.

    Теперь самое неприятное — служба поддержки скайпа не рассматривает никакие конкретные случаи автоматической блокировки аккаунта. Ответ один — вы нарушили пункт 6.3 Условий использования Skype. В результате что получается — если у вас есть важные контакты, история переписки, красивый и запоминающийся логин, к которому вы уже давно привыкли, оплаченные подписки, деньги на балансе и т.п. вы потеряете это все и навсегда. Угнанный аккаунт можно восстановить через саппорт, доказав что это ваш аккаунт, а в этом случае доказывать что-то бесполезно.

    На форуме скайпа эта проблема уже давно обсуждается, вот одна из тем goo.gl/64aDA, но к сожалению ничего не меняется. Автор этих строк пострадал лично от потери аккаунта, но возможно кто-то не считает сложившуюся ситуацию с автоматическими блокировками в Скайпе проблемой, прошу обсудить это в комментариях.

    Что бы сделали вы, если бы ваш аккаунт был заблокирован таким образом?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 105
    • +19
      Альтернативу искать бесполезно, это как с аськой в прошлом — перейти самому можно, но перетащить 100500 собеседников… а вообще новость печальная.
      • 0
        Всё, на что Майкрософт наложило свою лапу, становится печальным.
        • +12
          А при чем тут Майкрософт? Этот функционал был и до них, и проблемы были те же.
          • +16
            Они не хотят обращать внимание на проблему.
            • +1
              Может вы не вкурсе, но MS не может влиять на политику Skype(вроде как в условиях покупки было).
              • 0
                Мне даже интересно послушать мнение людей которые минусуют, когда им говорят что MS не влияет на решения другой компании, хоть она ей и владеет? :)
                • +5
                  Может это и так, но именно после покупки МС стали исчезать старые фичи. До этого они в основном появлялись.
                  Rich Formatting, возможность модерирования, Ctrl+Enter для отправки…
                  • +3
                    В целом согласен, тоже сижу на 5.5 из-за поддержки отправки html-кода.
                    А что не так с Ctrl+Enter для отправки?
                    Даже в последней версии можно назначить Enter на перенос строки.


                • +5
                  Я конечно не в курсе, а разве пункт в лицензионном соглашении о прослушке скайп, не изменение политики скайп.
                • +3
                  Но это не техническая проблема. Точно так же можно зарепортить в FB и где угодно.
                  • +3
                    Это именно техническая проблема из-за автоматической блокировки. Видел даже группы в ВК по коллективной блокировке скайпов.
                    Проблема существует давно. Исправят скорее всего когда половина сотрудников в MS окажутся в бане таким методом.
                    • +5
                      Скорее всего это единственный способ быстро и верно достучаться до них. Заблочить аккаунты высшего звена и сразу все разрешится )
                      • 0
                        Своих они влёгкую разблокируют.
                        • +1
                          ещё раз значит заблокировать, и ещё раз.
                        • +4
                          Ну а в чем пробелма? Давайте в комментах соберемся и заблочим Балмера :))
                          • +9
                            а у кого есть скайп Балмера?
                          • –1
                            IF NOT(company='Microsoft' AND fired=0)
                            BEGIN
                            END
                            Хоть обблокируйся.
                            • 0
                              Значит бабушек, дедушек, жен, друзей блокировать.
                              Нужно только узнать их )
                          • 0
                            Достаточно было бы упростить систему анализируя поведение пользователей, на которых жалуются. MS собирает все ссылки с переписки, потому можно оценить их процент в тексте, как быстро пользователь начинает спамить ссылку, как быстро его удаляют с контактов, как долго он зарегистрирован…
                            • +2
                              Вот такие группы

                              vk.com/off.skype
                              vk.com/block_nax
                              vk.com/blok_skype
                          • –1
                            К MS прямого отношения это не имеет.
                            Скайп по факту — отдельная организационная единица.
                            MS, как и всякая крупная корпорация, привнес бюрократии в процессы, но разрабы и лиды в скайпе свои.
                            Т.ч. на МС можно свалить только необходимость обоснования и согласования всех изменений по всем уровням, но никак не дыры в безопасности или куцый функционал.
                      • +98
                        перейти самому можно, но перетащить 100500 собеседников…

                        Можно забанить собеседников предложенным способом. И им придется искать альтернативу =)
                        • 0
                          Потопить скайп… Несмотря на жестокость, конечно, идея красивая…
                          • 0
                            Да-да-да, и начать надо со своего генерального директора… )
                        • 0
                          Ну почему же? Google Voice, ooVoo, Tango…

                          Понятно, что контакты потеряются, но если руководство Skype не устарнит проблему — потеряют клиентов, а потеряв клиентов — потеряют и популярность.

                          Хотя конечно новость удручает…
                          • 0
                            На Viber народ начал мигрировать потихоньку.
                            • 0
                              Ну тогда уж RedPhone )))
                              • 0
                                Кстати да, последние несколько месяцев довольно активно его устанавливают (имею ввиду личные телефонные контакты)…
                            • +11
                              >>перейти самому можно, но перетащить 100500 собеседников…

                              Теперь вы можете их заблокировать и перевести на открытый протокол!
                              • +1
                                Обратись к этим ребятам и «заблокируй» нужных тебе людей. Сразу пересядут.
                              • +31
                                Эта статья — генератор новых «хацкеров»)
                                • +11
                                  То есть нужно «молчать в тряпочку». Ваши предложения пострадавшим?
                                  • +4
                                    Эта статья — генератор новых «хацкеров»)

                                    «Школо-хацкеров»

                                    А вообще, это грубо говоря катастрофа! Столько организаций и фирм завязано на этом скайпе, а администрации хоть бы хны!
                                    Как дальше жить?!
                                    • +4
                                      Именно! Сервис настолько популярен в бизнесе, что этому бизнесу создается реальная угроза.
                                      • –2
                                        Хватит уже школу приплетать. Недалёких личностей хватает везде.
                                        • 0
                                          Я думаю, что если бизнес не в состоянии оценить риски, связанные с использованием какого-либо сервиса, и заранее позаботиться об альтернативе — урок будет ему полезен.
                                      • +2
                                        Это жесть. Такие жалобы должна рассматривать техподдержка, а не банить автоматически.
                                        Кто-нибудь знает, как с этим обстоят дела в Google Hangouts?
                                        • +24
                                          Ой… щас все программисты в офисе скинутся и забанят менеджеров :)))
                                          • 0
                                            главное — с бухгалтерами не попутать ;)
                                          • +4
                                            А с солонками — так вообще беда.
                                            • +2
                                              Ты везде это пишешь?
                                              • +2
                                                Нет, только там, где вижу, как упорство недоброжелателей приводит к абсурдным мерам безопасности. Здесь пока ещё не привело, но риск присутствует. Точнее, тут меры безопасности уже абсурдны, но может быть и хуже.
                                                • 0
                                                  Если доступ к солонкам будет из любой точки мира для любого из сотен миллионов человек, да ещё и автоматизируемый и с возможностью «подстав» и управления вирусами — то вы бы сразу перестали думать, что солонки — это не проблема.
                                            • +7
                                              Мне кажется, Skype зашевелится в этом направлении только тогда, когда подобным образом забанят несколько учетных записей высоко сидящих в этой шарашкиной конторе людей. <irony>Кто-нибудь знает скайп-номер того же Балмера? :)</irony>
                                              • +1
                                                Или можно устроить DDoS и за несколько часов забанить пару сотен тысяч аккаунтов. Пострадают тысячи, но миллионы будут спасены.
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                • +2
                                                  Проблема не в базе контактов. Проблема в том, что базу в 1000 контактов нужно перевести (оповестить, чтоб вас по новой добавили) на новый акк, который, кстати, легко может быть забанен снова.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    • +4
                                                      Объясните это менеджеру, у которого забанили рабочий акк Скайпа 8)
                                                      • 0
                                                        Is there (web-) app for that?
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                      • 0
                                                        а не подскажете как юзать это апи?
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    • 0
                                                                      А разве Вы один читатель этого топика? Возможно, что кто-то из программистов увидев ссылки, приведенные выше по тексту, возьмет и напишет для специалистов в других областях полезную программу. В конце концов, если ваши контакты представляют для Вас определенную ценность, выраженную некоторой суммой в рублях, то в случае форсмажорных обстоятельств, описанных в статье, у Вас будет возможность получить контакты обратно- для этого просто нужно разместить задачу на Фрилансим.ру с указанием того, что возможное решение указано в коментариях к этому топику.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                            • +1
                                                              > vi /boot/grub/grub.conf
                                                              It's a trap!
                                                              • 0
                                                                SQL запрос покороче будет…
                                                              • +1
                                                                Есть еще программы типа SkHistory, вся переписка тоже хранится локально, и там ее можно удобно прочитать, не авторизуясь даже.
                                                              • +13
                                                                Заблокируйте меня, skype-логин: zhovner
                                                                • 0
                                                                  done
                                                                  • 0
                                                                    прости, внес свой вклад
                                                                    • 0
                                                                      ну как? еще живой акк?))
                                                                      • +1
                                                                        Пока работает.
                                                                        • +1
                                                                          а сейчас?
                                                                          • 0
                                                                            И сейчас.
                                                                            • 0
                                                                              Мы все за Вас переживаем! )
                                                                              • +15
                                                                                А вы уверены, что это его логин, а не zhovner-врага хабра-zhovner'а, которого этот хабра-zhovner хочет заблокировать?
                                                                                • +3
                                                                                  Вот чёрт! Хакеры хакнули хаброэффект! :)
                                                                      • 0
                                                                        Я тоже помог. Ну как?
                                                                        • +1
                                                                          Никак, все работает. Мне уже десяток человек сказали что заобузили. Но я точно знаю что описанное в статье работает правда неясно как.

                                                                          image
                                                                      • +44
                                                                        Предлагаю идею для стартапа: отснифать строку запроса для абуза и забанить Skype Test Call (echo123)
                                                                        Через gui не выходит
                                                                      • +6
                                                                        Чтобы обратить на проблему внимание главных менеджеров скайпа, можно попытаться узнать их (глав.менеджеров) аккаунты и попробовать их таким образом забанить.
                                                                        • +4
                                                                          по запросу microsoft ищется очень много интересных результатов
                                                                        • +3
                                                                          А в чем проблема решить это технически? При отправке жалобы например проверять, было ли хоть одно сообщение от аккаунта, на который идет жалоба к аккаунту, с которого была жалоба. Если нет — то жалобу и не фиксировать.
                                                                          Иначе как может досадить некий skype-аккаунт человеку, с которым у него даже и переписки не было?
                                                                          • +3
                                                                            А им это… как там… «… до лампочки!» ©
                                                                            • 0
                                                                              Я бы ещё банил того кто наабузил.
                                                                            • +3
                                                                              Прямо очередная дыра в безопасности
                                                                              • +9
                                                                                Хоть что-то у них в безопасности.
                                                                                • +1
                                                                                  ага,… у вас тут соль в солонках сыпется в обе стороны, можно насыпать в солонку яду… © хакер в столовой
                                                                                • 0
                                                                                  Угнанный аккаунт


                                                                                  Погодите, что-то не уловил.
                                                                                  Как здесь угон-аккаунта происходит? Насколько я понял, акк блокируется (и судя по всему, на него нельзя зарегаться).
                                                                                  Что я не правильно понял?
                                                                                  • 0
                                                                                    Господа минусующие, объясните, пожалуйста.
                                                                                    Я же сразу спросил.
                                                                                    • +1
                                                                                      Угон аккаунта приводится в противопоставление, а не сравнение.
                                                                                      • 0
                                                                                        Спасибо, теперь понял.

                                                                                        Подскажите, почему нельзя было сразу это объяснить (если я в самом начале признал, что я что-то неправильно понял), а не просто молча минусовать?
                                                                                  • 0
                                                                                    А MSN-юзеров так можно банить?
                                                                                    • +1
                                                                                      Эту тему нужно поднять где-нибудь в анлоязычном интернете и на hacker news, иначе всё бесполезно будет, локальный местный шум им пофиг абсолютно.
                                                                                      • 0
                                                                                        Как правильно писали выше, наиболее действенным должен выйти бан руководящего состава.
                                                                                      • 0
                                                                                        Ну вот и прорубили Окна в Скайпе…
                                                                                        • 0
                                                                                          Еще мне в скайпе не нравится, что можно на любое мыло зарегистрировать аккаунт (без подтверждения с этого мыла). Потом спокойно пользоваться аккаунтом, до тех пор, пока владелец мыла не сменит пароль. Понятно, что это мягкая уязвимость, но, все равно, неприятная.
                                                                                          • 0
                                                                                            Кинул ссылку на статью в твиттере человеку из российской MS twitter.com/abeshkov

                                                                                            Вряд ли особо поможет, но мне не влом, подписан на него )
                                                                                            • 0
                                                                                              Недавно только в бете закрыли дыру для Skypegrab, она еще не вышла, может и это исправят.
                                                                                              • 0
                                                                                                Нашел бы альтернативу

                                                                                                Альтернатив хватает, вот только мало у кого есть клиенты под Linux
                                                                                                • +1
                                                                                                  Корпоративные акки так можно убивать?
                                                                                                  К примеру у Приватбанка очень сильно был (и сейчас вероятно тоже) бизнес завязан на скайпе — внутренняя переписка у сотрудников, общение с клиентами… Если их забанить, то всё станет у них.
                                                                                                  Убили бы двух зайцев — Приват бы добился чтобы разбанили, но заодно таки начал бы искать альтернативу. И пользователям привата стало б спокойнее за свои деньги…
                                                                                                  • 0
                                                                                                    Это всё происки GMO :-)
                                                                                                    Подобные дыры есть и в других системах, о чём я недавно написал в habrahabr.ru/post/190062/
                                                                                                    Проблема в том, что у кого-то неприемлемые бизнес-модели.
                                                                                                    К сожалению я не могу перекинуть к Хаб «Информационная безопасность»?
                                                                                                  • 0
                                                                                                    А сколько Интернет-магазинов могут конкурентам помочь снизить обороты :-)
                                                                                                    • 0
                                                                                                      Есть предположение, что это хрень работает, только если вы недавно отправляли ссылки кому-нибудь.
                                                                                                      В твиттере тоже есть кнопка заблокировать за спам. Так вот, насколько я видел, она не работает, пока пользователь сам энное кол-во ссылок не отправит.

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.