Pliki wideo zagrożeniem dla Skype'a

Izraelski specjalista ds. bezpieczeństwa Aviv Raff wykrył nową lukę w zabezpieczeniach popularnego komunikatora Skype. Błąd pozwala na przejęcie pełnej kontroli nad komputerem z systemem Windows - w tym celu wystarczy skłonić użytkownika Skype'a do wyświetlenie odpowiednio zmodyfikowanego pliku wideo.

Raff twierdzi, że wykryta przez niego luka to błąd typu "cross-zone scripting vulnerability". Jak tłumaczy ekspert, Skype do wyświetlania zawartości HTML wykorzystuje "silnik" Internet Explorera - problem w tym, że wyświetlane w ten sposób strony są przez automatycznie uznawane za bezpieczne (tzn. należące do strefy Lokalny Internet). A to oznacza, że jeśli "napastnikowi" uda się umieścić na takiej stronie złośliwy skrypt, to bez problemu będzie go można wykorzystać do przejęcia pełnej kontroli nad systemem.

Aviv Raff przeprowadził eksperyment udowadniający jego odkrycia - spreparował plik wideo, który umieścił w serwisie DailyMotion (będącym partnerem Skype'a) a następnie otworzył go korzystając z funkcji "Add Video to Chat". W pliku był osadzony prosty, nieszkodliwy kod, który został automatycznie uruchomiony podczas odtwarzania wideo - Raff zastrzega jednak, że ten kod można bez problemu podmienić na dowolne złośliwe oprogramowanie.

"Przestępca może opublikować w DailyMotion film, opatrzyć go odpowiednio popularnymi tagami - np. Paris Hiltion - i skutecznie zaatakować każdego, kto spróbuje go obejrzeć za pośrednictwem Skype'a" - mówi Aviv Raff.

Spostrzeżenie Izraelczyka potwierdza inny znany ekspert - Brytyjczyk Petko Petkov (specjalizujący się w testach penetracyjnych). "Sposób przeprowadzenia ataku wydaje się dość skomplikowany, ale tak naprawdę nie ma w tym nic trudnego. Najbardziej prawdopodobną metodą działania przestępców wydaje się stosowanie wszelkiego rodzaju sztuczek psychologicznych w celu zachęcenia internautów do oglądania takich klipów lub też "zasypanie" DailyMotion setkami niebezpiecznych filmów o odpowiednich opisach" - mówi Petkov.

Petko Petkov wskazał również przy okazji na drugą podobną słabość Skype'a - z jego analiz wynika, że reklamy dostarczane do Skype z centralnego serwera nie są odpowiednio zabezpieczone. Dzięki temu przestępcy mogą zmusić komunikator do wyświetlenia spreparowanych przez nich reklam - np. zawierających automatycznie się uruchamiający złośliwy kod.

Taki atak może zostać przeprowadzony np. za pośrednictwem publicznego punktu bezprzewodowego dostępu do Internetu - przestępca może wykorzystać hot spot do "wstrzyknięcia" złośliwego kodu do danych (reklam) przesyłanych do użytkowników Skype'a korzystających z tego samego punktu. Dlatego też Petkov zdecydowanie odradza osobom używającym tego komunikatora uruchamianie go podczas połączeń z publicznymi hot spotami.

Zarówno Raff, jak i Petkov zalecają też użytkownikom Skype zrezygnowanie z wyszukiwania i oglądania klipów wideo za pośrednictwem aplikacji - do czasu usunięcia luki przez producenta. Z analiz Aviva Raffa wynika, że na atak podatna jest najnowsze wersja Skype'a dla Windows (wydanie 3.6.0.244). Prawdopodobnie problem dotyczy też wcześniejszych wydań.

Daniel Cieślak