Onderzoekers hebben een backdoor in Skype voor Mac OS X gevonden die mogelijk het gevolg van een programmeerfout is. Via de backdoor kunnen andere programma's toegang tot allerlei zaken van Skype-gebruikers krijgen, zoals gesprekken, adresboek en chatberichten.
Dat laten onderzoekers van het Amerikaanse beveiligingsbedrijf Trustwave weten. Het probleem bevindt zich in de Desktop-programmeerinterface (api) in de Mac OS X-versie van Skype. Deze api geeft programma's en plug-ins van derden de mogelijkheid om met Skype te communiceren. Normaliter krijgen gebruikers een melding te zien als een programma toegang tot Skype wil.
De backdoor zorgt er echter voor dat gebruikers deze melding helemaal niet te zien krijgen als een programma zich tegenover de Desktop-api als "Skype Dashbd Wdgt Plugin" voordoet. Ook blijkt Skype niet goed te controleren welke programma's er van de api gebruikmaken. "Dit opent de mogelijkheid tot misbruik door programma's van derden, waaronder malware, die lokaal op de computer draaien", aldus de onderzoekers.
Opmerkelijk in deze situatie is dat de Skype Dashboard widget de backdoor in de Skype Desktop-api helemaal niet gebruikt, ondanks de aanwezigheid van de naam "Skype Dashbd Wdgt Plugin" waardoor de backdoor is aan te roepen. Volgens de onderzoekers suggereert dit mogelijkheid dat de backdoor het gevolg van een programmeerfout is waardoor de code onbedoeld tijdens de implementatie van de Dashboard-plug-in is achtergebleven.
Het probleem werd in oktober van dit jaar aan Microsoft gemeld en eind oktober gepatcht. Deze week besloten de onderzoekers het beveiligingsbulletin openbaar te maken. Microsoft gaat de Desktop-api uitfaseren en zal die geleidelijk uit alle Skype-versies verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.