Gigantisk svaghed i Skype - kaldes 'umulig' at fikse

Illustration: Rangizzz/Bigstock
Sikkerhedsforsker kontaktede Microsoft i september om sikkerhedshul i Skype. Men problemet er meget stort, og derfor er der ikke sket meget.

En stor svaghed er blevet afsløret i Skype – den kan give uvedkommende adgang til alle dele af operativsystemet. Microsoft kender til sikkerhedshullet, men oplyser, at det ikke vil bliver fikset med det samme. Svagheden er nemlig så omfattende, at teknologigiganten må omskrive hele koden.

Det er sikkerhedsforsker Stefan Kanthak, som afdækkede hullet. Ved at udnytte en DLL-fil, som er en del af opdateringstjenesten til Skype, fandt den tyske sikkerhedsforsker ud af, at uvedkommende kan lægge ondsindet kode ind ved at narre opdateringstjenesten.

Adminadgang på steroider

Ifølge Kanthak kan svagheden også udnyttes på Linux og Mac-systemer.

»Svagheden giver mig systemprivilegier. Det kan sammenlignes med administratoradgang på steroider,« skriver forskeren i en e-mail til det amerikanske teknologimedie Zdnet.

Tyskeren kontaktede Microsoft og fortalte om svagheden allerede i september. Siden da er der ikke sket meget.

Må omskrive hele koden

Ifølge Zdnet skyldes det, at problemet er så omfattende, at den amerikanske it-gigant må omskrive hele koden.

Selskabet har derfor sat alle tilgængelige ressourcer ind på at skrive en helt ny klient.

»Vi har formået at reproducere problemet, og vi vil lancere fejlretningen som en helt ny klient og ikke som en sikkerhedsopdatering,« svarede Microsoft i en e-mail til Kanthak.

Skype til virksomheder

Skype til virksomheder er tilsyneladende ikke påvirket af sikkerhedshullet.

Det er et populært samarbejdsværktøj i Norge. Flere norske kommuner bruger platformen som deres primære form for kommunikation.

Stavanger Kommune, som har omkring 10.000 ansatte, fortryder ikke at have foretaget skiftet fra telefoncentraler til Skype.

»Skype for virksomheder er mere end en telefonløsning. Det er så let for medarbejderne. De kan tage arbejdet med hjem og stadig være tilgængelige på kommunens telefon. Jeg tror, de ansatte virkelig synes, der er værdi i ikke at være låst til en fastnettelefon, som står på skrivebordet.«

»Det er ikke altid, man har tid eller mulighed for at svare på en telefon, men at svare i en kort chat har de fleste tid til,« siger infrastrukturlederen i Stavanger Kommune.

Denne artikel blev først publiceret på digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Simon Rigét

på min Linux desktop. De spreder deres dårligt gennemtænkte underliggende løsninger og sikkerhedsproblemer, hvor de kommer ind.

... det var eller lige blevet til at holde ud at bruge Skype igen; Siden skype blev solgt første gang, har andre operativsystemer end windows, fået en stedmoderligt behandling.

Med den nye version har Linux brugere fået glæde af, at MS software trods alt ofte er mere brugervenligt. Men prisen er lidt høj, hvis man skal acceptere lemfældige huller i sikkerheden.

Hans Nielsen

»Skype for virksomheder er mere end en telefonløsning. Det er så let for medarbejderne. De kan tage arbejdet med hjem og stadig være tilgængelige på kommunens telefon. Jeg tror, de ansatte virkelig synes, der er værdi i ikke at være låst til en fastnettelefon, som står på skrivebordet.«

Skype giver ikke meget, som man ikke også kunne få hvis man brugte SIP, i en eller anden form. Nok lidt mindre, da man selv sider med ejerskabet og styringen.
Men fastnet telefonen baseret på SIP, er da stadig så langt fra død, selv om analoge linjer er det. Samtale kvaliteten og oppetiden er stadig betydeligt bedre end Mobil. - Hvis du taler i telefon i store del af din dag, så bliver din hjerne træt af en dårligt lydkvalitet, som den skal kompensere for ved at gætte og korrigere. Selv om du ikke opdager dette. Headset og DECT betyder også at man ikke er bundet til sit skrivebord.
Og du kan bruge SIP klienter på mobil, bærbare eller i en lille boks, og tage det med dig på andre steder lige som med Skype. Hvis det kun er voice delen, som betyder at man vælger SKYPE, så virker det som en beslutnings tager, som ikke er særligt dygtig eller vidende.

Om prolemmet med opdateringer og sikkerhed. Det er så også et problem for Linux, hvis man installer SKYPE som Route. Ellers er det kun brugere og data som kan angribes, og hver vil en korrekt backup løse mange ting. Hvis ikke vi taler om forenings hemmeligheder og ligende. Men igen en yderligere faktor til at fravælge MS, til andet end gaming. De har bare IKKE styr på sikkerheden, på grund af løsninger og beslutninger som er lavet og taget for langt tid siden .Og som er rigtigt svært at løse nu.

Men vis man har vigtige data, som man ikke ønsker andre, især amerikanske firmaer skal se. Så vil det jo også være totalt tåbelig at bruge noget som helst amerikansk software, og services. Og hardware, her tænkes det især på firewall og ligende, Da CPU og ligende kan være svært at undgå, men AMD ZEN er måske en mulighed ?

Helge Svendsen

Eller lign. frameworks på din linux. Så opdager man, hvis der er en *.so, der ændrer sig.

Men jeg forstår nu ikke, at man på linux skulle kunne installere noget. Hvis man er alm. bruger har man ikke skriveadgang til installations området fra skype (mener det er /opt). Så skal man placere en dll/so et eller andet sted, hvor brugeren har rettighed, og så ellers linke det på en eller anden måde.

Går ikke ud fra, at der er noget opdaterings sjov, der kører med root privilegier?

Gert Agerholm

"Det er så let for medarbejderne. De kan tage arbejdet med hjem og stadig være tilgængelige på kommunens telefon. Jeg tror, de ansatte virkelig synes, der er værdi i ikke at være låst til en fastnettelefon, som står på skrivebordet.«"

God reklame for Skype for Business. Sagen er så bare at de er ikke noget specielt ved det, det kan vi også med vores TDC Scale løsning, det eneste er at chat er ikke integreret hos os.

Hans Nielsen

"den tager så temp med <suk> , men så er vi tilbage til whitelistning"

Men vel også en fejl eller uhensigtsmæssighed i Linux som skal rettes.

Hvor en normal desktop brugerkonti lige som i Android , ikke selv med sudo giver lov til at installeres Software uden for "butiken". Men man aktiv skal give lov til dette Hvis man alligevel installere, skal programmer ikke have root adgang, og have få rettigheder, som en gæstekonto. Man kunne også nægte adgang til automatisk opdateringer.

Men det hele kommer jo af, at MS har prøvet at lave deres egen løsning, og prøvet at kommer uden om nogle af sikkerheds barierene i Linux. Altså i bund og grund, et typisk valg af en dårligt løsning fra MS, med KNYT kode. de kunne jo vælge, at lægge deres program ind i en standart pakke, som kunne tilføjes via den automatisk opdatering og installation.

Michael Cederberg

God reklame for Skype for Business. Sagen er så bare at de er ikke noget specielt ved det, det kan vi også med vores TDC Scale løsning, det eneste er at chat er ikke integreret hos os.

Skype for Business er på ingen måde perfekt, men et hurtigt kig på TDC's løsning synes at vise at det er helt forskellige produkter. Scale er telefoni. Skype er kommunikation.

Skype for Business har funktioner til chat, video kommunikation, deling af skærme, whiteboards etc. Ved intern kommunikation er Skype utroligt brugbart og nemt at bruge. Jeg bruger deling af skærm et par gange hver dag. Der er mange ting der kan forbedres, men det er allerede i dag et feature og usability mæssigt godt produkt. Gid kvaliteten var på samme niveau.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder