5岁的Skype后门被发现&#8212；Mac OS X用户被催促更新

很难相信，但这是真的。

最近，Trustwave的SpiderLabs分析师在Skype中发现了苹果macOS和Mac OS X操作系统的一个隐藏后门，可用于在用户不知情的情况下监视用户的通信。

后门实际上存在于桌面应用程序编程接口（API）中，该接口允许第三方插件和应用程序与微软拥有的Skype；流行的视频聊天和信息服务。

这个后门似乎至少从2010年就存在了，它可以让任何恶意的第三方应用绕过身份验证程序，提供对Mac OS X上Skype的几乎完全访问。

攻击者如何完全控制你的Skype

如果恶意应用程序“将自己识别为代表Skype Dashboard widget程序与桌面API接口的程序”，则该应用程序可能会绕过身份验证过程

进入这个后门非常容易。黑客需要做的就是将应用程序中的文本字符串更改为这个值→ "Skype Dashbd Wdgt插件和桌面API将提供对Skype敏感功能的访问。
攻击者或任何滥用此隐藏后门的恶意程序可能会执行以下操作：

• 阅读传入消息的通知（及其内容）
• 拦截、读取和修改消息
• 记录Skype通话音频
• 创建聊天会话
• 检索用户联系信息

研究人员还提供了概念验证Objective-C代码，该代码可以启动连接过程，而无需请求用户允许该过程连接到Skype：

该后门据信是在微软收购Skype之前，由Skype的一名开发人员创建的，并可能暴露了超过3000万Mac OS X用户。

立即更新你的Skype安装！

Trustwave于10月将该漏洞通知了微软，该公司已在Skype 7.37及更高版本中修补了该问题。

以下是微软发言人对后门的评论：

“我们不会在产品中安装后门，但我们会不断改善产品体验[和]产品安全性，并鼓励客户始终升级到最新版本”。

Trustwave还推测，由于Skype dashboard widget似乎没有使用它，据信后门“在实现仪表板插件的过程中”意外地留在了Skype中。

Skype for macOS和Mac OS X的所有版本，包括7.35版本，都易受攻击。因此，强烈建议用户尽快更新Skype安装。