dissabte, 18 d’abril de 2009

Usuaris d´SKYPE. Compte!

Une attaque CSRF , dite par SkypeSkrayping, a été identifiée par Secure Science à l'encontre des comptes utilisateur authentifiés sur les services Web du système populaire de VoIP Skype . Cette attaque démontre qu'une personne malicieuse peut pirater des appels Skype entrants, l'autorisant ainsi à effectuer des écoutes illégales et éventuellement à récupérer des informations sensibles. A noter que l'attaquant doit être lui aussi authentifié sur son compte Skype afin que cette attaque soit fonctionnelle.

Des attaques plus ou moins similaires sont réalisables sur les appels sortants et sur la messagerie vocale. Skype-Out, Skype-In et Skype-Voicemail sont exploitables. Il existe une faiblesse dans l'interface entre les fonctionnalités Web de Skype et celles régissant les appels vers la téléphonie standard. Bien que Skype ne maintienne pas les sessions d'authentification navigateur aussi longtemps que d'autres, les attaquants peuvent tout de même effectuer du SkypeSkrayping dans une fenêtre temporelle de trente minutes après authentification Web de la victime ciblée.

Lors de la publication de cette méthode, il y avait quinze millions d'utilisateurs Skype en ligne, si seulement un pour-cent de ces utilisateurs répondait favorablement à un message de type Phishing envoyé sur la messagerie instantanée Skype, un attaquant récupérerait alors cent cinquante mille comptes Skype exploitables grâce à cette méthode, de quoi confectionner un Botnet VoIP de belle envergure pour mener à bien des Dénis de Service Distribués via l'utilisation d'un PABX central.

Le message envoyé par l'attaquant sur la messagerie instantanée de la victime pourrait être le suivant : « SkypeSkrayper: Bonjour, désolé pour cette interruption, ceci est un rappel sur le fait que ce jour est spécial pour les utilisateurs de Skype. Nous vous offrons gracieusement un crédit supplémentaire d'une valeur de vingt cinq euros sur Skype-Out, à la seule condition de visiter ce lien avant la fin de la journée. Noter que nos services ne vous demanderont jamais ni votre identifiant, ni votre mot de passe d'accès à la messagerie instantanée de Skype et aux autres services associés ».

Pour persuader la victime, un second message envoyé un peu plus tard, un message comme « SkypeSkrayper2: Des message promettant un crédit supplémentaire de vingt cinq euros sur votre compte Skype-Out ont été constatés sur la messagerie instantanée de Skype. Ils sont propices à la propagation d'un virus très dangereux. Si vous l'avez reçu, le département anti-fraude de Skype (SFD) pense que votre ordinateur peut être infecté. Aussi, nous vous conseillons de le vérifier en visitant cette page. Le SFD ne sera jamais amené à demander vos informations Skype personnelles d'accès ».

Une fois que la victime a cliqué sur le lien malveillant ici fourni, la page de destination contient une Iframe ( lien ) malicieuse, voir une balise image avec un script associé, qui peut alors être utilisée par l'attaquant afin d'effectuer les actions suivantes au niveau du compte Skype de la victime piégée : ajouter un numéro spécifique pour la redirection des appels entrants de la victime, obtenir un numéro Skype-To-Go , accéder à la messagerie vocale de la victime, effectuer des appels sortants avec un Caller-ID ( lien ) usurpé, voir le service SpoofCard .

Cette vulnérabilité peut par exemple être utilisée par l'attaquant pour qu'il se fasse passer pour des institutions financières légitimes afin d'obtenir des données personnelles sensibles. Il pourrait également se servir des comptes compromis par SkypeSkrayping comme d'un Proxy afin de relayer ses propres appels frauduleux sortants. Les capacités de Botnet VoIP auraient d'autant pu être renforcées par des comptes Google Voice compromis à l'aide de récentes attaques aussi démontrées lien par Secure Science, mais Google a été plus prompt que Skype à fixer ces vulnérabilités.