Эксперты из компании Trustwave, что в старой версии Skype для macOS обнаружен бэкдор, который присутствовал в коде более 5 лет. Он находился в Skype Desktop API, которое позволяет сторонним приложениям взаимодействовать со Skype.

Как оказалось, в процессе этого можно не просто получить учетные данные, но и можно обойти аутентификацию, получив полный доступ к локальной установке Skype. А это даёт возможность использовать бэкдор для чтения уведомлений о входящих сообщениях, модификации сообщений, создания новых чат-сессий, извлечения списка контактов пользователя, а также для регистрации и записи аудиозвонков. При этом приложение с бэкдором не будет отображаться в списке Manage API Clients, так что отозвать допуск у него не получится.

Причины появления бэкдора пока не известны точно.

Существует интересная вероятность, что этот баг – результат добавления в Desktop API бэкдора для конкретной программы, написанной вендором, чтобы иметь доступ к Desktop API  без ведома пользователя. Эта вероятность выглядит весьма правдоподобно, если учитывать, что Desktop API предусматривает недокументированный идентификатор client name (Skype Dashbd Wdgt Plugin)

Эксперты Trustwave

Также отмечается, что причиной могла быть банальная ошибка разработчиков, которые попросту забыли в коде во время работы над имплементацией плагина Dashboard.

Патч для решения проблемы бал представлен 26 ноября, потому обновление стоит провести как можно скорее.