Onderzoekers vinden backdoor in Skype voor Mac OS X
Onderzoekers hebben een backdoor in Skype voor Mac OS X gevonden die mogelijk het gevolg van een programmeerfout is. Via de backdoor kunnen andere programma's toegang tot allerlei zaken van Skype-gebruikers krijgen, zoals gesprekken, adresboek en chatberichten.
Dat laten onderzoekers van het Amerikaanse beveiligingsbedrijf Trustwave weten. Het probleem bevindt zich in de Desktop-programmeerinterface (api) in de Mac OS X-versie van Skype. Deze api geeft programma's en plug-ins van derden de mogelijkheid om met Skype te communiceren. Normaliter krijgen gebruikers een melding te zien als een programma toegang tot Skype wil.
De backdoor zorgt er echter voor dat gebruikers deze melding helemaal niet te zien krijgen als een programma zich tegenover de Desktop-api als "Skype Dashbd Wdgt Plugin" voordoet. Ook blijkt Skype niet goed te controleren welke programma's er van de api gebruikmaken. "Dit opent de mogelijkheid tot misbruik door programma's van derden, waaronder malware, die lokaal op de computer draaien", aldus de onderzoekers.
Opmerkelijk in deze situatie is dat de Skype Dashboard widget de backdoor in de Skype Desktop-api helemaal niet gebruikt, ondanks de aanwezigheid van de naam "Skype Dashbd Wdgt Plugin" waardoor de backdoor is aan te roepen. Volgens de onderzoekers suggereert dit mogelijkheid dat de backdoor het gevolg van een programmeerfout is waardoor de code onbedoeld tijdens de implementatie van de Dashboard-plug-in is achtergebleven.
Het probleem werd in oktober van dit jaar aan Microsoft gemeld en eind oktober gepatcht. Deze week besloten de onderzoekers het beveiligingsbulletin openbaar te maken. Microsoft gaat de Desktop-api uitfaseren en zal die geleidelijk uit alle Skype-versies verwijderen.
Een backdoor is iets wat (naar mijn idee) bewust erin wordt gebouwd.
Als onderzoekers als de mogelijkheid zien dat dit een programmeerfout is, en MS dit direct patched is dit een te overdreven hoe dit de wereld in wordt gestuurd.
Het komt er gewoon op neer: Mogelijk misbruikbaar lek gevonden (is het dan niet gewoon een bug als het een programmeerfout is?)
Accessing the backdoor is as easy as changing a single line of code in the numerous examples given by Skype themselves in how to use the Desktop API. A simple change to the 'clientApplicationName' NSString method (or CFString member variable if using the Carbon API), setting this value to "Skype Dashbd Wdgt Plugin" is all that is required.
Moet ik hier uit afleiden dat er een regel code in de Skype app zelf dient te worden gewijzigd?
Daar zal je dan toch admin rechten voor nodig hebben.
Nou neen.
Het gevonden "relict" is meer dan dat.
Om met een hard-gecodeerde naam ongemerkt binnen te kunnen komen, moet de code daarvoor een aparte afhandeling kennen, zoiets als "if (vast-geheim) then allow". Het is een bedoelde achterdeur (au !) of het voortbrengingsproces bij Microsoft, de controles daarbinnen, zijn beneden de maat (ook au !).
Dit is toch anders dan een fout die ontstaat door een subtiele off-by-one index, missing bounds check on input, integer overflow, enz. Dat zijn programmeerfouten die vaak moeilijk te zien zijn en soms ook door statische code analyses worden gemist. Maar deze fout hier duidt dus op iets pijnlijks, of opzet, of gebrek aan code review.
Hoe erg de impact van de achterdeur is kan ik moeilijk overzien, misschien valt het mee, maar de aard van de fout is er een die een flink wantrouwen tegen de manier waarop MS haar spullen controleert rechtvaardigt.
Ik schat dat bij een open source distributie de kans dat een privacy-gevoelig en veelgebruikt programma met een dergelijke fout in de distributie terechtkomt bijzonder klein in. Debian e.d. accepteren geen binary contributions, een programma komt er alleen via de voordeur in, dus als open source programmacode.
Nee, het gaar hier om de API code. Dus de code waarmee een externe applicatie op een officiële manier toegang tot skype krijgt. In de voorbeeldcode moet je blijkbaar wel je credentials opgeven, maar door één regel in de voorbeeldcode aan te passen, wordt die stap overgeslagen.
Waar is die api code dan te vinden?
In een user Library, een van de system libraries?
Ik zie het niet.
De Skype widget heb ik eveneens niet gevonden.
Ik zie in de Skype app zelf wel een "Skype.framework"
In een van de submappen is een unix excutable file te vinden genaamd "Skype".
Wordt de code die hierin zit dan aangeroepen?
De Skype app kan je isoleren van andere apps als daar het probleem zit.
Sowieso kan je beter Skypen onder een apart encrypted useraccount vanwege het lokaal opgeslagen profiel inclusief gegevens en historie.
Laat je dan ook nooit verleiden om op een computer van iemand anders in te loggen op jouw account met Skype, dan geef je je account etc. gegens weg, het prfiel wordt dan immers ook opgeslagen van de computer van die persoon.
Dit is toch anders dan een fout die ontstaat door een subtiele off-by-one index, missing bounds check on input, integer overflow, enz. Dat zijn programmeerfouten die vaak moeilijk te zien zijn en soms ook door statische code analyses worden gemist. Maar deze fout hier duidt dus op iets pijnlijks, of opzet, of gebrek aan code review.
....
Als we zo beginnen is heel Linux een backdoor want het lijkt gangbaar te zijn om telnet open te zetten en dat met standaard user/pswd's (IOT) of een open webserver die de cgibin compleet open laat (routers). Gezien je verwijzing naar Debian met je met een OS strijd bezig. Ik prefereer liever goed security richtlijnen top-down voordat er bottom-up code geklopt wordt.
Je laat uitschijnen dat telnet zomaar openstaat op gangbare Linux distributies, dat klopt niet.
IOT kan een ander verhaal zijn, wegen geen ervaring met die dingen wil ik u wel geloven. Maar wat IOT en router fabrikanten uitspoken met het Linux gebaseerde OS kan je Linux niet aanwrijven.
Je wrijft Microsoft ook niet aan dat een gebruiker nog Windows XP gebruikt of nooit updates installeert.
Of om een beetje in de richting te blijven, een fabrikant van medische apparatuur die nog op Windows XP zit.
Een jaar of 5 geleden nog een geldautomaat gezien die op OS/2 draaide.
Moet ik hier uit afleiden dat er een regel code in de Skype app zelf dient te worden gewijzigd?
Daar zal je dan toch admin rechten voor nodig hebben.
Nee, je hoeft in de meegeleverde programmeervoorbeelden 1 regel aan te passen om met die 'programmeerfout' te connecten en dus dingen te doen zonder tussenkomst v/d gebruiker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
