Експерти з компанії Trustwave, що в старій версії Skype для macOS виявлений бекдор, який був присутній в коді більше 5 років. Він знаходився в Skype Desktop API, який дозволяє стороннім додаткам взаємодіяти зі Skype.

Як виявилося, у процесі цього не можна просто отримати реєстраційні дані, але і можна обійти автентифікацію, отримавши повний доступ до локальної установки Skype. А це дає можливість використовувати бекдор для читання повідомлень про вхідні повідомлення, модифікації повідомлень, створення нових чат-сесій, вилучення списку контактів користувача, а також для реєстрації і запису аудіовикликів. При цьому додаток з бекдорів не буде відображатися в списку Manage API Clients, так що відкликати допуск у нього не вийде.

Причини появи бекдор поки не відомі точно.

Існує цікава ймовірність, що цей баг – результат додавання Desktop API бекдор для конкретної програми, написаної вендором, щоб мати доступ до Desktop API без відома користувача. Ця ймовірність виглядає досить правдоподібно, якщо враховувати, що Desktop API передбачає недокументовані ідентифікатор client name (Skype Dashbd Wdgt Plugin)

Експерти Trustwave

Також наголошується, що причиною могла бути банальна помилка розробників, які просто забули в коді під час роботи над імплементацією плагіна Dashboard.

Патч для вирішення проблеми бал представлений 26 листопада, тому оновлення варто провести як можна швидше.