Уязвимость данных Skype: «вранье об удалённом сообщении»

Программа Skype нынче вошла в моду, к ней все привыкли, и вроде все нормально, и удобства в ней хватает, и бесплатная, и т. д… Естественно что и я ей тоже пользуюсь, хоть и начитан многократно про её спектр проблем… И вот вчера я обнаружил еще один косяк, случайно, в этой самой Skype весьма занятное и любопытное явление, я назвал «вранье про удаление сообщения», потому что оно проявилось в самый не подходящий момент, именно «с секретными данными». То есть, что я сделал, переслал человеку одни важдые данные и удалил сообщение. Но позже я его случайно восстановил, каково же было мое удивление, на сколько эта уязвимость оказалась банальной. Суть в том что когда вы удаляете сообщение из диалога, то удаленное сообщение по факту остается и его легко восстановить.

Воспроизводится баг очень просто, однако и с ограничением: Вы (А) и удаленный человек, вернее его скайп(Б). Удалите сообщение, любое, и переведите компьютер в режим сна, после этого подключаетесь с другого компьютера, и  после этого Skype попытается восстановить историю общения, то есть извлекает историю от второго skype-клиента(Б). Обязательное условие — второй skype-клиент не должен выключать свой skype-клиент. И вот теперь вопрос — я что будет если кто-то откроет скайп вместо вас, на вашем компьютере, или тот же вор, хотя бы на минутку, а будет следующее , он стянет всю вашу переписку, включая якобы удаленные секретные сообщения. Хуже всего другое, когда сообщение востановится вторично, оно полностью остается в хистори, и не удаляется вообще. Пробовал на двух версиях скайпа (5.10.0.116), какая версия была на стороне (Б) без понятия, скорее всего такая же или рядом…

К моменту выхода этого сообщения я уже отправил баг-репорт к skype-программерам ( http://developer.skype.com/SkypeGarage/ReportIssue ). Отправил им заранее, чем выложить в интернет чисто с этических соображений. Что ответят не знаю, кстати, интересно они платят за найденные баги…, ради интереса, даже задал им вопрос, коль уж что-то им там писал в джире.

Интересно — а что будет если испробовать еще и между скаяпами для разных ОС.

 

Добавить комментарий