Skype 5.5 có thể làm "mất" tài khoản người dùng

PHONG VÂN (Theo Secalert)

TTO - Bản cập nhật Skype 5.5 mới nhất vẫn không giúp bảo vệ được tài khoản người dùng và thậm chí chứa một lỗi cho phép tin tặc chiếm quyền điều khiển tài khoản Skype của nạn nhân, đó là kết luận của chuyên gia bảo mật David Vieira-Kurz.

500 triệu người dùng Skype gặp lỗi nguy hiểm Tính năng mới của Facebook lại bị lợi dụng

Phóng to

Thử nghiệm đánh cắp thông tin cookie trên Skype qua lỗi xử lý Javascript của Skype - Ảnh: H-Online

Bản nâng cấp Skype 5.5 nhằm cung cấp cho người dùng khả năng kết hợp cập nhật thông tin từ mạng xã hội Facebook ngay trong Skype. Đăng nhập, cập nhật và tương tác với tài khoản Facebook mà không cần phải truy xuất vào website. Tuy vậy, tiến trình kết hợp này tiềm ẩn một nguy cơ bảo mật nguy hiểm do phía phần mềm Skype cài đặt trên máy tính người dùng sẽ phải thực thi các mã Javascript từ những thông điệp trạng thái (status) trong Facebook mà không qua bất kỳ bộ lọc bảo mật nào.

Xem thêm: Bill Gates: "Tôi đã khuyên Microsoft mua Skype"

Skype thực thi mã Javascript trong phần bình luận trên Facebook (comment) mà không qua bộ lọc, lợi dụng cách này tin tặc có thể đánh cắp cookie của một tài khoản người dùng Skype. Nguy hiểm hơn, kẻ tấn công thậm chí không cần phải là bạn bè có trong danh bạ Facebook của nạn nhân để thực hiện cuộc tấn công.

Hai tuần trước đây, một lỗi nguy hiểm dạng "cross-site-scripting" cũng được phát hiện trong Skype 5.3 bởi Levent Kayan. Bạn đọc xem chi tiết tại đây. Skype đã xác nhận về lỗi bảo mật trong Skype 5.5 và cho biết lỗi không chỉ đe dọa phiên bản này mà còn cả phiên bản Skype 5.3.

Trong khi chờ đợi phiên bản vá lỗi được Skype phát hành, bạn đọc không nên đăng nhập vào Facebook từ trong Skype.

Video clip mô tả về lỗi mới trong Skype 5.5 - Nguồn: YouTube

PHONG VÂN (Theo Secalert)