Специалисты компании Secure Science обнаружили способ получения доступа к чужим учетным записям в системах голосовой связи Skype и Google Voice и совершения с них звонков. Если бы злоумышленнику удалось им воспользоваться, он мог бы создать автоматизированную систему, перенаправляющую звонки поочередно через множество чужих номеров. Это было бы раем для телефонных мошенников.

В Google Voice оказалось возможным даже перехватывать входящие звонки. Проблема была в том, что система не требовала ввода дополнительного кода при доступе к голосовой почте, проверяя только телефонный номер звонящего. А его легко фальсифицировать при помощи, например, известного сервиса SpoofCard.

Взлом учетной записи Skype осуществляется путем "подделки кросс-сайтовых запросов" (Cross-Site Request Forgery), и для этого нужно, чтобы пользователь вошел в свою учетную запись на сайте Skype, и в течение 30 минут после этого посетил мошеннический сайт.

В Google уже исправили ошибки и добавили пароль на доступ к голосовой почте. Skype пока не успела что-либо сделать.

www.osp.ru

Последняя модификация: 13 Апрель, 2009