Skype, prodotto oggi nelle mani della Microsoft, soffre di una grave vulnerabilità tra le proprie funzionalità, tale per cui qualsiasi password potrebbe essere sottratta portandosi appresso così il libero accesso a qualsivoglia account. Tutto quel che un malintenzionato deve sapere della propria vittima è semplicemente l’indirizzo email.
Al momento i dettagli sul problema non sono stati diramati poiché metterebbero milioni di account in pericolo, peraltro con possibili effetti deleteri a cascata in termini di malware o spam. Il problema è emerso da settimane su alcuni forum russi e The Next Web ha affermato la veridicità del problema riuscendo nell’exploit con i propri mezzi. Una volta informati i tecnici Skype dell’accaduto, il gruppo si è immediatamente messo al lavoro per interrompere il percorso attraverso cui il sistema può essere violato.
Skype spiega di voler risolvere in proprio il problema senza dover costringere gli utenti a cambiare password o email di riferimento sul proprio account, così da garantire la piena sicurezza delle varie identità senza attendere l’intervento di alcuno. La vulnerabilità non è stata però identificata nello specifico del codice del sistema, quanto piuttosto nel meccanismo di recupero delle password previsto. Sulla base delle evidenze trapelate, chiunque sarebbe facilmente in grado di far proprio lo username altrui riuscendo anche a modificarne la password e quindi agendo in seguito con estrema semplicità sottraendone di fatto l’identità sul network.
Il problema è stato grossolanamente risolto in pochi minuti con un intervento tale da impedire qualsivoglia attacco: il meccanismo di recupero delle password (l’elemento debole identificato nel meccanismo) è stato rimosso, così che nessuno possa approfittare del problema al diffondersi della notizia. Prima di ripristinare il servizio, i tecnici Skype dovranno ora adottare i filtri giusti per impedire che un semplice aggiramento del processo possa minare la sicurezza di milioni di account.
Update
Skype ha chiuso ufficialmente il problema con un post sulla sezione HeartBeat del proprio sito. Il gruppo spiega che il bug affliggeva gli account registrati con i medesimi indirizzi di posta e che il sistema di recupero delle password era stato sospeso in via precauzionale. L’exploit avrebbe colpito pochi utenti ed ora il bug è stato risolto mettendo al sicuro l’intera community.