Пользователь
0,0
рейтинг
14 июня 2013 в 10:57

Разработка → Очередная дыра в системе безопасности Skype


ПРЕДИСЛОВИЕ

Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе.

Через эту дыру невозможно взломать скайп аккаунт, однако последствия могут быть еще печальнее. В системе безопасности скайпа есть такой сервис, нажав правой кнопкой мышки на контакте, из контекстного меню можно выбрать пункт «Заблокировать этого пользователя» и поставить галочку в пункте «Сообщить о нарушении правил этим абонентом».



Этот сервис прекрасно работает и помогает в борьбе со спамом. Но как всегда нашлись «предприимчивые» пользователи и теперь используют этот сервис в «борьбе с неугодными» пользователями скайпа. Как это работает — можно сделать поиск по логину и непосредственно из поиска блокировать и репорт делать или, зная логин, просто вызывать меню через skype:insert_username_here?menu.

По предварительным подсчетам достаточно 9 (возможно больше) таких жалоб и аккаунт автоматически блокируется. Сейчас эти новоявленные «хакеры» уже собираются в группы, размещают через соц. сети информацию какой аккаунт нужно заблокировать и он блокируется в течение очень короткого времени.

Теперь самое неприятное — служба поддержки скайпа не рассматривает никакие конкретные случаи автоматической блокировки аккаунта. Ответ один — вы нарушили пункт 6.3 Условий использования Skype. В результате что получается — если у вас есть важные контакты, история переписки, красивый и запоминающийся логин, к которому вы уже давно привыкли, оплаченные подписки, деньги на балансе и т.п. вы потеряете это все и навсегда. Угнанный аккаунт можно восстановить через саппорт, доказав что это ваш аккаунт, а в этом случае доказывать что-то бесполезно.

На форуме скайпа эта проблема уже давно обсуждается, вот одна из тем goo.gl/64aDA, но к сожалению ничего не меняется. Автор этих строк пострадал лично от потери аккаунта, но возможно кто-то не считает сложившуюся ситуацию с автоматическими блокировками в Скайпе проблемой, прошу обсудить это в комментариях.

Что бы сделали вы, если бы ваш аккаунт был заблокирован таким образом?

Проголосовало 4367 человек. Воздержалось 713 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Олег Анисимов @Yoda33
карма
47,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (105)

  • +19
    Альтернативу искать бесполезно, это как с аськой в прошлом — перейти самому можно, но перетащить 100500 собеседников… а вообще новость печальная.
    • 0
      Всё, на что Майкрософт наложило свою лапу, становится печальным.
      • +12
        А при чем тут Майкрософт? Этот функционал был и до них, и проблемы были те же.
        • +16
          Они не хотят обращать внимание на проблему.
          • +1
            Может вы не вкурсе, но MS не может влиять на политику Skype(вроде как в условиях покупки было).
            • 0
              Мне даже интересно послушать мнение людей которые минусуют, когда им говорят что MS не влияет на решения другой компании, хоть она ей и владеет? :)
            • +5
              Может это и так, но именно после покупки МС стали исчезать старые фичи. До этого они в основном появлялись.
              Rich Formatting, возможность модерирования, Ctrl+Enter для отправки…
              • +3
                В целом согласен, тоже сижу на 5.5 из-за поддержки отправки html-кода.
                А что не так с Ctrl+Enter для отправки?
                Даже в последней версии можно назначить Enter на перенос строки.


            • +5
              Я конечно не в курсе, а разве пункт в лицензионном соглашении о прослушке скайп, не изменение политики скайп.
          • +3
            Но это не техническая проблема. Точно так же можно зарепортить в FB и где угодно.
            • +3
              Это именно техническая проблема из-за автоматической блокировки. Видел даже группы в ВК по коллективной блокировке скайпов.
              Проблема существует давно. Исправят скорее всего когда половина сотрудников в MS окажутся в бане таким методом.
              • +5
                Скорее всего это единственный способ быстро и верно достучаться до них. Заблочить аккаунты высшего звена и сразу все разрешится )
                • 0
                  Своих они влёгкую разблокируют.
                  • +1
                    ещё раз значит заблокировать, и ещё раз.
                • +4
                  Ну а в чем пробелма? Давайте в комментах соберемся и заблочим Балмера :))
                  • +9
                    а у кого есть скайп Балмера?
                • –1
                  IF NOT(company='Microsoft' AND fired=0)
                  BEGIN
                  END
                  Хоть обблокируйся.
                  • 0
                    Значит бабушек, дедушек, жен, друзей блокировать.
                    Нужно только узнать их )
              • 0
                Достаточно было бы упростить систему анализируя поведение пользователей, на которых жалуются. MS собирает все ссылки с переписки, потому можно оценить их процент в тексте, как быстро пользователь начинает спамить ссылку, как быстро его удаляют с контактов, как долго он зарегистрирован…
              • +2
                Вот такие группы

                vk.com/off.skype
                vk.com/block_nax
                vk.com/blok_skype
          • –1
            К MS прямого отношения это не имеет.
            Скайп по факту — отдельная организационная единица.
            MS, как и всякая крупная корпорация, привнес бюрократии в процессы, но разрабы и лиды в скайпе свои.
            Т.ч. на МС можно свалить только необходимость обоснования и согласования всех изменений по всем уровням, но никак не дыры в безопасности или куцый функционал.
    • +98
      перейти самому можно, но перетащить 100500 собеседников…

      Можно забанить собеседников предложенным способом. И им придется искать альтернативу =)
      • 0
        Потопить скайп… Несмотря на жестокость, конечно, идея красивая…
        • 0
          Да-да-да, и начать надо со своего генерального директора… )
    • 0
      Ну почему же? Google Voice, ooVoo, Tango…

      Понятно, что контакты потеряются, но если руководство Skype не устарнит проблему — потеряют клиентов, а потеряв клиентов — потеряют и популярность.

      Хотя конечно новость удручает…
      • 0
        На Viber народ начал мигрировать потихоньку.
        • 0
          Ну тогда уж RedPhone )))
        • 0
          Кстати да, последние несколько месяцев довольно активно его устанавливают (имею ввиду личные телефонные контакты)…
    • +11
      >>перейти самому можно, но перетащить 100500 собеседников…

      Теперь вы можете их заблокировать и перевести на открытый протокол!
    • +1
      Обратись к этим ребятам и «заблокируй» нужных тебе людей. Сразу пересядут.
  • +31
    Эта статья — генератор новых «хацкеров»)
    • +11
      То есть нужно «молчать в тряпочку». Ваши предложения пострадавшим?
    • +4
      Эта статья — генератор новых «хацкеров»)

      «Школо-хацкеров»

      А вообще, это грубо говоря катастрофа! Столько организаций и фирм завязано на этом скайпе, а администрации хоть бы хны!
      Как дальше жить?!
      • +4
        Именно! Сервис настолько популярен в бизнесе, что этому бизнесу создается реальная угроза.
      • –2
        Хватит уже школу приплетать. Недалёких личностей хватает везде.
      • 0
        Я думаю, что если бизнес не в состоянии оценить риски, связанные с использованием какого-либо сервиса, и заранее позаботиться об альтернативе — урок будет ему полезен.
  • +2
    Это жесть. Такие жалобы должна рассматривать техподдержка, а не банить автоматически.
    Кто-нибудь знает, как с этим обстоят дела в Google Hangouts?
  • +24
    Ой… щас все программисты в офисе скинутся и забанят менеджеров :)))
    • 0
      главное — с бухгалтерами не попутать ;)
  • +4
    А с солонками — так вообще беда.
    • +2
      Ты везде это пишешь?
      • +2
        Нет, только там, где вижу, как упорство недоброжелателей приводит к абсурдным мерам безопасности. Здесь пока ещё не привело, но риск присутствует. Точнее, тут меры безопасности уже абсурдны, но может быть и хуже.
        • 0
          Если доступ к солонкам будет из любой точки мира для любого из сотен миллионов человек, да ещё и автоматизируемый и с возможностью «подстав» и управления вирусами — то вы бы сразу перестали думать, что солонки — это не проблема.
  • +7
    Мне кажется, Skype зашевелится в этом направлении только тогда, когда подобным образом забанят несколько учетных записей высоко сидящих в этой шарашкиной конторе людей. <irony>Кто-нибудь знает скайп-номер того же Балмера? :)</irony>
    • +1
      Или можно устроить DDoS и за несколько часов забанить пару сотен тысяч аккаунтов. Пострадают тысячи, но миллионы будут спасены.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Проблема не в базе контактов. Проблема в том, что базу в 1000 контактов нужно перевести (оповестить, чтоб вас по новой добавили) на новый акк, который, кстати, легко может быть забанен снова.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +4
          Объясните это менеджеру, у которого забанили рабочий акк Скайпа 8)
          • 0
            Is there (web-) app for that?
            • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          а не подскажете как юзать это апи?
          • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    А разве Вы один читатель этого топика? Возможно, что кто-то из программистов увидев ссылки, приведенные выше по тексту, возьмет и напишет для специалистов в других областях полезную программу. В конце концов, если ваши контакты представляют для Вас определенную ценность, выраженную некоторой суммой в рублях, то в случае форсмажорных обстоятельств, описанных в статье, у Вас будет возможность получить контакты обратно- для этого просто нужно разместить задачу на Фрилансим.ру с указанием того, что возможное решение указано в коментариях к этому топику.
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        > vi /boot/grub/grub.conf
        It's a trap!
      • 0
        SQL запрос покороче будет…
    • +1
      Есть еще программы типа SkHistory, вся переписка тоже хранится локально, и там ее можно удобно прочитать, не авторизуясь даже.
  • +13
    Заблокируйте меня, skype-логин: zhovner
    • 0
      done
    • 0
      прости, внес свой вклад
    • 0
      ну как? еще живой акк?))
      • +1
        Пока работает.
        • +1
          а сейчас?
          • 0
            И сейчас.
            • 0
              Мы все за Вас переживаем! )
              • +15
                А вы уверены, что это его логин, а не zhovner-врага хабра-zhovner'а, которого этот хабра-zhovner хочет заблокировать?
                • +3
                  Вот чёрт! Хакеры хакнули хаброэффект! :)
    • 0
      Я тоже помог. Ну как?
      • +1
        Никак, все работает. Мне уже десяток человек сказали что заобузили. Но я точно знаю что описанное в статье работает правда неясно как.

        image
  • +44
    Предлагаю идею для стартапа: отснифать строку запроса для абуза и забанить Skype Test Call (echo123)
    Через gui не выходит
    • +7
      image
  • +6
    Чтобы обратить на проблему внимание главных менеджеров скайпа, можно попытаться узнать их (глав.менеджеров) аккаунты и попробовать их таким образом забанить.
    • +4
      по запросу microsoft ищется очень много интересных результатов
  • +3
    А в чем проблема решить это технически? При отправке жалобы например проверять, было ли хоть одно сообщение от аккаунта, на который идет жалоба к аккаунту, с которого была жалоба. Если нет — то жалобу и не фиксировать.
    Иначе как может досадить некий skype-аккаунт человеку, с которым у него даже и переписки не было?
    • +3
      А им это… как там… «… до лампочки!» ©
    • 0
      Я бы ещё банил того кто наабузил.
  • +3
    Прямо очередная дыра в безопасности
    • +9
      Хоть что-то у них в безопасности.
    • +1
      ага,… у вас тут соль в солонках сыпется в обе стороны, можно насыпать в солонку яду… © хакер в столовой
  • 0
    Угнанный аккаунт


    Погодите, что-то не уловил.
    Как здесь угон-аккаунта происходит? Насколько я понял, акк блокируется (и судя по всему, на него нельзя зарегаться).
    Что я не правильно понял?
    • 0
      Господа минусующие, объясните, пожалуйста.
      Я же сразу спросил.
      • +1
        Угон аккаунта приводится в противопоставление, а не сравнение.
        • 0
          Спасибо, теперь понял.

          Подскажите, почему нельзя было сразу это объяснить (если я в самом начале признал, что я что-то неправильно понял), а не просто молча минусовать?
  • 0
    А MSN-юзеров так можно банить?
  • +1
    Эту тему нужно поднять где-нибудь в анлоязычном интернете и на hacker news, иначе всё бесполезно будет, локальный местный шум им пофиг абсолютно.
    • 0
      Как правильно писали выше, наиболее действенным должен выйти бан руководящего состава.
  • 0
    Ну вот и прорубили Окна в Скайпе…
  • 0
    Еще мне в скайпе не нравится, что можно на любое мыло зарегистрировать аккаунт (без подтверждения с этого мыла). Потом спокойно пользоваться аккаунтом, до тех пор, пока владелец мыла не сменит пароль. Понятно, что это мягкая уязвимость, но, все равно, неприятная.
  • 0
    Кинул ссылку на статью в твиттере человеку из российской MS twitter.com/abeshkov

    Вряд ли особо поможет, но мне не влом, подписан на него )
  • 0
    Недавно только в бете закрыли дыру для Skypegrab, она еще не вышла, может и это исправят.
  • 0
    Нашел бы альтернативу

    Альтернатив хватает, вот только мало у кого есть клиенты под Linux
  • +1
    Корпоративные акки так можно убивать?
    К примеру у Приватбанка очень сильно был (и сейчас вероятно тоже) бизнес завязан на скайпе — внутренняя переписка у сотрудников, общение с клиентами… Если их забанить, то всё станет у них.
    Убили бы двух зайцев — Приват бы добился чтобы разбанили, но заодно таки начал бы искать альтернативу. И пользователям привата стало б спокойнее за свои деньги…
    • 0
      Это всё происки GMO :-)
      Подобные дыры есть и в других системах, о чём я недавно написал в habrahabr.ru/post/190062/
      Проблема в том, что у кого-то неприемлемые бизнес-модели.
      К сожалению я не могу перекинуть к Хаб «Информационная безопасность»?
  • 0
    А сколько Интернет-магазинов могут конкурентам помочь снизить обороты :-)
  • 0
    Есть предположение, что это хрень работает, только если вы недавно отправляли ссылки кому-нибудь.
    В твиттере тоже есть кнопка заблокировать за спам. Так вот, насколько я видел, она не работает, пока пользователь сам энное кол-во ссылок не отправит.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.