作者:趨勢科技資深分析師Rik Ferguson
一個Skype嚴重的漏洞已經浮上水面了。這個漏洞讓你只要在知道對方電子郵件地址的情況下,就可以取得任何使用者的Skype帳號。
對於這問題的概念驗證文章大約在三個月前被貼到俄羅斯的論壇上。原本的作者在昨天又再貼到另一個網站上。作者還指出,這漏洞已經被廣泛的濫用了,影響到許多他聯絡人列表上的使用者。
基本上,整個過程非常的容易,就算是最沒經驗的電腦使用者也可以做到。需要作的只是用別人的電子郵件地址註冊一個新的Skype帳號,一旦完成這個步驟,密碼重設程序的一個漏洞就可以讓攻擊者利用線上密碼重設網頁來取得受害者的帳號。這會將受害者鎖在他們的Skype帳號之外,讓攻擊者可以接受並回應所有發給受害者的訊息。我測試了這個漏洞,整個過程只需要花幾分鐘的時間。
這問題已經回報給微軟(去年收購了Skype),在深入調查這漏洞的同時,他們先移除線上密碼重設網頁以作為預防措施。
在重設密碼網頁被禁用前,唯一可以保護自己的作法,就是註冊一個完全獨立而不為人知的電子郵件地址給Skype帳號使用。不過這作法有點不切實際,而且理論上這樣做會讓你更容易被攻擊,因為你不太可能定期調查很少用到的收件夾。
這個故事讓我們學到什麼?即使你只是發信給別人,這資訊也可以用來對付你,盡力維護隱私總是不會錯的。
@原文出處:Skype vulnerability makes hijack child’s play.
趨勢科技建議使用者應選取具有主動偵測並封鎖惡意程式與網頁的資訊防護軟體,如:趨勢科技PC-cillin 2013 雲端版
- PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載