Уязвимость существует из-за ошибки функционала восстановления после разрыва связи в групповом звонке.
Исследователи безопасности обнаружили уязвимость в службе голосового общения Skype. Злоумышленник может слышать разговоры своего собеседника, даже если при этом в его клиенте отключен звук микрофона. Уязвимость существует из-за ошибки функционала восстановления связи после обрыва в режиме группового звонка.
Для того чтобы проэксплуатировать уязвимость, необходимо в режиме группового звонка, после того как собеседник отключил свой микрофон в Skype, отключить подключение к Интернет. Затем, при появлении сообщения «Hold on while we try to get the call back» нужно вернуть подключение к Интернет и дождаться восстановления звонка. После этого можно будет слышать разговор собеседника, причем он не будет знать, что микрофон его включен и передает все звуки.
При обычном парном разговоре перед отключением от Интернет в окно чата можно ввести команду /add echo123, тогда разговор становится групповым и появляется возможность эксплуатации уязвимости.
Уязвимость обнаружена в версиях Skype для Windows 5.5.0.124, 5.6 и BETA 5.7.0.123. Другие версии также могут быть уязвимы. Разработчики службы голосового общения подтвердили наличие уязвимости и уже работают над выпуском исправления.
С официальным отчетом можно ознакомиться здесь.
Источник: securitylab.ru.
| 
