? Skype превратился в унылое подобие… и продукт, позволяющий получить полный доступ к вашей системе? Есть ли надежда?

в 15:31, , рубрики: skype, безопасность, Блог компании ua-hosting.company, взлом системы через скайп, информационная безопасность, Системы обмена сообщениями

Извините, накипело! Сегодняшний повторный инцидент с загрузкой 500+ МБ паразитного трафика за 15-20 минут, который я не заказывал, стал последней точкой, когда я всерьез задумался снести мессенджер, которым пользовался практически с самого начала его создания и отказаться от дальнейшего пользования. Весь мой лимит мобильного LTE доступа в Интернет в 1 ГБ в сутки Скайп успешно съел, оператор ограничил скорость до 300 Кбит / с и нужно ждать, пока обновится пакет (доплатить и перезаказать ранее срока без смены тарифа нельзя, 21-й век на дворе!). Но причина моего гнева не в этом, а в том, что я параноик в области безопасности. Skype теперь пытаетесь инфицировать мне Mac? Отслеживать мои данные? Или же это проделки хакеров, которые через Skype пытаются меня взломать? Но в начале, перед тем, как я расскрою факты, хочу вспомнить историю этого беспредела.

Несколько лет назад я перешел на Mac, в свою очередь несколько лет назад Skype перешел на Microsoft. Какая ирония! Ну почему, ну почему Skype не был выкуплен компанией Apple? Или любой другой компанией, которая уважает своих клиентов и хотя бы не делает хуже! Я не говорю о том, что в целом было бы неплохо делать лучше, особенно на фоне конкуренции с другими мессенджерами, типа Telegram, который также есть за что покритиковать, но самая большая моя проблема там — не могу скопировать текст выходящий за область прокрутки, также удобно, как в Skype, приходится копировать по частям.

Моё мнение, что Microsoft почти ничего не может сделать нормально из того, что придумывает нового, это касается и их собственных продуктов, а не только приобретённых. Хорошим примером может быть система лицензирования серверного Windows, до сих пор помню как они поменяли условия по программе SPLA по серверным лицензиям Windows, которыми мы были вынуждены пользоваться. Они не придумали ничего лучше, чем просто отменить стандартные типы лицензий, задрав цены и введя лицензии «на процессор», вероятно, с целью, увеличения дохода. И что при этом Вы думаете произошло? Правильно, очередной трындец! У наших клиентов, которые их установили и за которые они и мы успешно платили Microsoft более 2-х лет по программе SPLA, лицензии продолжили работу, где-то на 100+ серверах, за одним отличием, что они стали не совсем легальны… Microsoft одним движением руки перестали взымать с нас за них оплату, разорвав по ним договор. Что говорить, даже деньги не способны взять… Разумеется, какое-либо SPLA мы с ними перезаключать не решились и теперь отправляем клиентов за лицензиями к партнёрам и не хотим более нести ответственности за кривость их программы, особенности оплат лицензирования, в особенности после того, как в Украине они ввели «замечательные» правила оплат для «партнёров» (тогда мы ещё работали в Украине), делающие работу с ними для многих невозможной и убыточной, а самое главное — очень «удобной». В результате клиенты, которым мы продавали их ПО, продолжили использовать их продукт бесплатно, ведь мы всего лишь тогда были посредниками и предоставляли dedicated в разных дата-центрах и не несли ответственность за ПО и прочее, а смысла напрягаться, чтоб ещё и денег заплатить за такой замечательный «сервис» — не видели. Впрочем, как и дата-центры, которые не заботились этим ПО до того момента, пока Microsoft не начали вводить им запрет на установку триальных версий без ключа, нарушая права частных пользователей. Но сейчас не об этом… Просто наболело, потому высказываюсь глобально, об общем подходе к делу, к партнёрам и к людям.

Microsoft, ну скажите? Вы хоть что-то нормально сделать можете? Почему всё, что попадает к Вам в руки, превращается в какое-то унылое подобие… (слово подставьте сами, не люблю ругаться, но очень хочется)? В начале тотальное отсутствие поддержки Скайпа в нормальном виде для Mac, приложение просто адски жрало CPU и нарушало гармонию пользования Mac целиком (плохой метод уничтожить конкурентов, пользователи скорее откажутся от Skype, нежели от Mac), так как батарея вместо 10 часов, держала максимум 2. Потом, вроде бы Вас попустило… Сделали наконец-то более-менее вменяемую версию, которая не приводила к катастрофе. Потери сообщений при пользовании мессенджером на IPhone. Иногда по двое суток проблемы с отсутствием доставки сообщений, синхронизацией и тех. поддержка, которая ничего не отвечала и вообще не понятно где находилась и как работала. Когда-то давно мы имели неосторожность начать пользоваться Скайпом для коммуникации отделов, и один раз нас это полностью парализовало.

В 2018 году кто-то видимо съел каких-то нехороших грибов, так как был сделан просто полный отстой.

Привычный мне и многим скайп, который изначально строился в виде распределённого решения, когда сообщения и связь осуществлялась напрямую между пользователями, с 2011 года (момента приобретения Скайпа за 8,5 млрд долларов) начал обслуживаться исключительно через серверы Microsoft, ведя запись сообщений пользователей, а в 2018 году одномоментно лишился целого ряда полезных функций, давайте почтим их минутой молчания:

  • Сетевые статусы «Нет на месте» и «Не в сети»
  • Компактный режим просмотра (то есть, разделить интерфейс Скайпа на два окна)
  • Эффективный поиск с частичным совпадением слов в чатах
  • Исключить пользователя из группового вызова
  • Очистить всю историю
  • Использовать списки контактов
  • Настраивать вебкамеру (например, указать контрастность)
  • Возможность включить звуковые уведомления в активном чате
  • Изменить параметры шрифта в чате
  • Настройка различных звуковых устройств для звонка и разговора
  • Настраивать звуки для вызовов, сообщений и других событий
  • Навигация в чате (например, переход на предыдущий месяц)
  • Настроить горячие клавиши
  • Отправить свои контакты другим собеседникам
  • Редактировать информацию о контакте (например, указать номер телефона)
  • Указать, как долго хранить историю чата
  • Отключить эскизы ссылок и файлов
  • Автоматически сохранять полученные файлы
  • Настроить оповещения (например, кто-то вошёл в сети или празднует день рождения)
  • Увеличить продолжительность видеосообщения (минимум одна минута)
  • Сфотографировать собеседника во время видеозвонка
  • Скрыть аватары контактов
  • Создание модерируемых групповых чатов
  • Галерея стоп-кадров
  • Отправить SMS-сообщения
  • Отправить видеосообщения
  • Начать звонок при двойном нажатии мышкой на контакте
  • Конфигурация прокси
  • Отображение сетевого статуса в системном трее
  • Групповые политики Skype
  • Автоматически вставлять выделенное слово при поиске

Возможно что-то упустил, поправьте, если вдруг что-то внёс по ошибке. Позднее некоторые из них всё же были восстановлены:

  • Сфотографировать собеседника во время видеозвонка
    Добавлено в версии 8.23.0.10
  • Отправить SMS-сообщения
    Добавлено в версии 8.15.0.4
  • Отправить видеосообщения
    Добавлено в версии 8.22.0.2
  • Отображение сетевого статуса в системном трее
    Добавлено в версии 8.15.0.4

И сейчас предлагается отправлять разработчикам пожелания на счёт функций, которые Вам могут быть нужны.

Также, из Скайпа были выпилены такие интересные функции, как:

  • При последовательном зажатии 3 и более кнопок на клавиатуре, при наборе текста в окошке, собеседник увидит не пишущий карандаш, а кошку. Если кто-то не понял, почему кошка: если у вас зажато 3 кнопки на клавиатуре, то либо вы идиот, либо по вашей клавиатуре шляется кошка, либо вы сделали это специально чтобы проверить эту пасхалку! Так-то! «Кошка» работала в старых версиях даже в режиме «только для чтения».
  • А при нажатии кнопок в хаотическом порядке можно было увидеть руки, которые разламывают карандаш на две части. К сожалению, показ также выпилили в последних версиях программы.
  • Тот же самый эффект можно было наблюдать при зажатии трех стоящих рядом кнопок, например, FGH.
  • Можно вставлять произвольный HTML-код, расширяя стандартный функционал Скайпа, но в целях безопасности (очевидно), с версий выше 5.7 и это выпилили.

Дыра в безопасности

Я же столкнулся, увы, с тем, что Скайп начал потреблять чрезмерно трафик в последнее время. Разумеется, я понимал, что никакое обновление на 500+ МБ закачано быть не может, причём, когда я закрывал мессенджер, загрузка прекращалась и после перезапуска не возобновлялась, но по прошествии 10-12 часов работы я замечал повторную ситуацию. Причём основной трафик был входящий, хотя и исходящий присутствовал. Тут мне стало совсем неспокойно.

Я попробовал выполнить следующие команды (достаточно ввести их в любом диалоговом окне и нажать Enter, собеседник не увидит этого сообщения):

/showplaces — посмотреть все устройства, на которых сейчас включен ваш Skype, результат не показал никаких других активных версий macWrap: 1432/8.32.0.44/SkypeX — isActive: true, Subs: 1:HttpLongPoll

И на всякий случай:

/remotelogout — выход из Skype со всех устройств, кроме данного.

Забавно, но Скайп настолько глючная программа, что порой использование этих команд выдаёт «Недопустимая команда; повторите попытку».

Факт в том, что после попытки проверки активности программы на других устройствах, правда это было сделано не в момент, когда шёл входящий трафик (увы, после перезапуска, ситуация в который раз не повторилась), какая-либо подозрительная активность прекратилась.

Вот и думаю теперь, успел ли злоумышленник получить доступ к моей системе или нет или же заметил, что я провожу проверку, что творит Скайп в системе и прекратил деятельность, так как основания полагать такое есть, ведь недавно, как оказалось, вышла статья: Skype can't fix a nasty security bug without a massive code rewrite:

Исследователь Стефан Кенсек обнаружил в мессенджере Microsoft серьезную уязвимость, которая позволяет злоумышленникам получить полный доступ к операционной системе жертвы. Схема работает по принципу «угона DLL-библиотек» и перенаправляет установщик обновлений Skype на вредоносный код, а не на нужные файлы обновления. При установке новой версии Skype использует отдельный исполнительный файл для собственного компонента обновления. Именно этот процесс можно легко эксплуатировать для вредоносных целей.

Злоумышленник может «угнать» процесс обновления за счет загрузки зараженной DLL-библиотеки во временную папку. Поддельная библиотека выдает себя за системный и безопасный DLL-файл, который может редактировать обычный пользователь без прав администратора (UXTheme.dll, к примеру). Установщик первым делом обнаруживает вредоносную DLL-библиотеку и устанавливает код злоумышленников на систему жертвы. Дело сделано.

Исследователь подчеркивает, что в Windows можно использовать сразу несколько методов «угона DLL-библиотек». Он также отметил, что другие операционные системы, вроде macOS и Linux, тоже могут быть подвержены подобным атакам. Уязвимость можно легко эксплуатировать для самых разнообразных целей, а в случае успешного исполнения хакер получает в свое распоряжение доступ уровня «Администратор на стероидах». Таким образом он может делать все что угодно с компьютером жертвы.

Microsoft узнала об уязвимости безопасности еще в сентябре прошлого года, но Софтверный гигант решил не исправлять эту проблему, поскольку ее лечение потребует переписать большое количество кода внутри приложения. Вместо этого Microsoft решила задержать исправление до выхода новой версии Skype, на что направила все свои ресурсы.

Каков статус этой проблемы сейчас, мне, увы, не известно, но поведение Skype откровенно говоря странное и включенной без наблюдения я мессенджер более не оставляю. Обидно, что Microsoft не проинформировал меня, как пользователя, об этой проблеме и я даже не подозревал, что могу понсети серьезные потери из-за использования их ПО.

Падение рейтингов

Не удивительно, что рейтинги начали падать, ведь из консервативного мессенджера инженеры Microsoft сделали подобие молодёжного Snapchat, который лично меня впечатляет только уровнем деградации его пользователей, возможно потому что мне уже за 30, или потому, что я крайне ценю каждый час своей жизни. Само собой, это не могло понравиться тем, кто привык к старому Скайпу. В итоге в AppStore рейтинги упали с 3,5 до 1,5 для США и с 3 до 1,5 для российских пользователей. Хотя в Play Marker ситуация была немного лучше в плане оценок, но снижение стало также заметно, несмотря на то, что в отличии от AppStore там показывается общая оценка, а не усреднённая за последнее время.

Есть ли будущее?

Microsoft очень консервативная компания и не привыкла слышать и слушать своих пользователей, а как всегда поддаётся на новомодные тренды, которые заполонили всё, чем я, к счастью, не пользуюсь — Facebook, Instagram, WhatsApp и прочее унылое ..., ведь основная проблема Cкайпа была во все не в отсутствии возможности наложить маску или отправить гифку или личную фоточку без возможности сохранения, а прежде всего в громоздкости, глючности и неповоротливости.

Безусловно, Microsoft в праве уничтожить Skype, ведь они его купили. Но я, как пользователь, который пользовался им с самого начала и даже оплачивал подписку, в праве высказать своё мнение по этому поводу и предостеречь Интернет-пользователей от пользования продуктом без должного внимания (или от пользования в целом), ведь Скайп стал не только неудобным, но и вполне может нести угрозу, учитывая его странное и неконтролируемое поведение. А шансов получить оперативную поддержку просто нет, как сказал один из пользователей:

«Начинаешь искать на сайте… софта где написать о глюках и находишь ответ — пишите в сообщество! В сообщество ...! Охренительная поддержка, гореть вам всем в аду», иногда, впрочем доходит до того, что на форумах можно встретить призывы от помощи даже от пенсионерок:

«Разобраться… Но, я пенсионерка, сижу, читаю, и ничего не получается! Нажимаю на контакт прав. кнопкой — не открывается, ничего, просто не реагиурет! Вот сижу, уже больше недели, ни с кем не общаюсь, и не нахожу выход. У меня есть Т.viewer, не было печали — черти накачали /пословица/».

Возможно, если бы Microsoft вёл немного другую политику по отношению к пользователям, в Интернете появлялось бы меньшее количество негатива и психоделических рекламных роликов, на тему их продуктов и решений, одним из самых популярных, оказался почему-то этот (11 млн просмотров):

Меня крайне интересует, сталкивался ли кто-то ещё с подобной проблемой (неконтролируемым выкачиванием сотен мегабайт трафика), что удалось выяснить и как решили — делитесь этим в комментариях, также, как и Вашими впечатлениями от мессенджера, авось Microsoft нас услышит.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до декабря бесплатно при оплате на срок от полугода, заказать можно тут.

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Автор: HostingManager

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js