Skype ha risolto alcuni bug che avrebbero permesso ad un hacker di bucare un account legittimo utilizzando solamente l’account di un utente-vittima e la mail ad esso collegato. La possibilità nasceva da un buco nel processo di reset della password utente, e che ha alzato diverse polemiche su un così grave problema mai segnalato prima.
Il rilascio dell’aggiornamento di sicurezza è avvenuto mercoledì scorso, a seguito della segnalazione del sito web russo Xeksec avvenuto un paio di mesi fa. Ecco come lavorava l’hack. Per sfruttare la vulnerabilità, un hacker necessitava solamente dell’indirizzo email di una vittima. Entrando quell’indirizzo nella pagina di registrazione di Skype, l’hacker avrebbe naturalmente ottenuto l’avviso che un utente con quell’indirizzo email era già esistente. L’hacker avrebbe potuto creare un nuovo account Skype collegato ad un altro indirizzo email e Skype avrebbe spedito una email-reminder all’utente originale associato con il primo account (volutamente sbagliato). Skype avrebbe anche spedito una password temporanea che blocca l’utente legittimo dell’account collegato all’indirizzo email iniziale. Da qui, l’hacker avrebbe modo di cambiare la password dell’account vittima.
La vulnerabilità è stata pubblicizzata su diversi forum russi ed è stata ampiamente sfruttata, stando a quanto ha riportato a questo riguardo Kaspersky Lab. La vulnerabilità è stata sfruttata ai danni di utenti con account skype multipli registrati tutti sullo stesso indirizzo email. Skype è stato costretto a sospendere il servizio di reset password al fine di aggiornare il processo e risolvere la problematica, contemporaneamente contattando quegli utenti che sarebbero stati vittime di tale exploit.. La vulnerabilità scoperta è un esempio di quanto emerge allorquando “esistono problematiche di tipo logico nel funzionamento generale del sistema, che solitamente non richiedono alcun codice particolare per essere sfruttate in maniera malevola,” afferma Brian Laing, dirigente di AhnLab. “Posto che il processo è viziato, il cambiamento del codice necessario per risolverlo dovrebbe essere facilmente applicabile in breve tempo, così da non richiedere il cambiamento del client.”
