В Skype нашли очередную крупную уязвимость, которая позволяет получить контроль над компьютером пользователя. При этом владелец сервиса — Microsoft — уже заявил, что не будет торопиться с исправлением недочета. Алексей Соколов разбирался, насколько безопасен Skype для пользователей.
Фото: Олег Харсеев, Коммерсантъ
Об опасной уязвимости журналистам сообщил независимый специалист по информационной безопасности Стефан Кантак. Установщик обновления для программы может быть атакован вредоносной программой, после чего подменяется часть файлов сервиса, и злоумышленник может получить к компьютеру пользователя полный доступ. Кантак отметил, что такая атака довольно проста, и подходит не только для пользователей Windows, но и Mac OS и Linux.
Замруководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин отмечает: некогда популярный сервис уже успел прославиться как не самая надежная и не самая удобная программа, и новая уязвимость — лишнее тому подтверждение.
«Сама техника — это внедрение библиотеки в тот же каталог, где находится программа, то есть для этого уже злоумышленникам нужно иметь доступ к компьютеру, и потом при загрузке Skype можно будет получить какие-то права. На самом деле тут даже вопрос не безопасности. В 2018 году существует уже огромное количество альтернатив Skype, он просто стал неудобным, им невозможно пользоваться», — рассуждает Никитин.
Любопытна реакция владельца Skype — корпорации Microsoft: разработчики заявили, что для исправления ситуации пришлось бы переписывать всю программу, но такой возможности сейчас нет, поэтому исправлять ошибку сейчас они не будут. Но пообещали, что со следующим крупным обновлением Skype — и эта дыра будет закрыта.
Среди специалистов по информационной безопасности есть своеобразное развлечение – «багхантинг», поиск уязвимостей. Нередко — за деньги: например, Google в конце прошлого года запустила программу вознаграждения за найденные уязвимости и ошибки безопасности в приложениях для Android. Каждый обнаруженный недостаток будет стоить $1 тыс.
Но со Skype — совсем другая история: уже много лет в профильных кругах команда разработчиков программы известна как самая нерасторопная. Исследователь информационной безопасности Павел Жовнер на протяжении нескольких лет писал в службу поддержки с предложениями исправить конкретные ошибки, но те не спешили ни с ответом, ни с реакцией.
«Очень много разных проблем, которые они по году, по полгода просто игнорировали. Я писал: пожалуйста, почините, можно всех взломать. Была уязвимость, связанная с тем, что можно было угнать аккаунт, зная адрес электронной почты, через который вы зарегистрировались. Я так, например, взломал Алексея Навального, Антона Носика и всем им написал и вернул пароли просто для того, чтобы этого никто не сделал первее. Раньше была для премиум-подписки чат-поддержка. Я так и не смог убедить техподдержку передать мое обращение куда-то выше», — рассказал Жовнер.
При всех известных проблемах Skype остается одним из самых популярных видеомессенджеров: во-первых, он входит в комплект последней версии Windows 10, а во-вторых, к программе привыкли пользователи старшего поколения.