Недавно в известной системе обмена быстрыми сообщениями ICQ, которая с 2010 года является собственностью компании Mail.ru, была обнаружена большая дыра в безопасности. Как оказалось, при передаче файлов через мессенджер, их запросто могут получить посторонние лица. С одной стороны небольшая беда, если среди попавших в чужие руки файлов будут фотографии с детского праздника. Однако при отправке более конфиденциальных файлов (сканы паспорта, важные документы и т.д.) такая брешь может стать серьезной угрозой для пользователя.
Как оказалось, причина выявленной дыры в безопасности ICQ связана с тем, что с недавнего времени передача файлов от отправителя к получателю проходит не напрямую, как это было раньше, а только после сохранения файла на одном из серверов Mail.ru. После этого, получатель получает ссылку на файл и скачивает его. При этом после скачивания ни файл ни ссылка не удаляются с данного сервера. Таким образом, заполучив ссылку (http://files.icq.net/files/get?fileId=XXXXXX), любой пользователь может без труда скачать чужой файл. Некоторую неизвестность вызывает последовательность шести последних символов в ссылке, однако для желающих порыться в чужих файлах это не составит труда. Тем более, что в Интернете уже выложен java-скрипт, который может подряд скачивать все файлы, отправленные пользователями ICQ.
Для того, чтобы доказать, что вышеописанная дыра в безопасности ICQ на самом деле существует один из пользователей ЖЖ ntv разместил огромную галерею фотографий, которые были им скачаны всего за 30 минут работы скрипта. Узнавшие свои фото могут попросить автора блога удалить компромат.
Ввиду такой широкой огласки возникшей проблемы, Mail.ru уже начала работать над ее устранением. Первоначально была удалена DNS-запись files.icq.net. Тем не менее, при замене данной комбинации на files.mail.ru, скрипт по-прежнему работал. Однако со временем, специалисты Mail.ru прикрыли и эту лазейку. Тем не менее, в сети тут же появилась новая версия скрипта, благодаря которой можно работать с сервером напрямую. И в настоящее время администрация серверов ICQ и «скриптоискатели» соревнуются в скорости и находчивости. Так, сразу после того, как новый скрипт перестает работать, ушлые пользователи находят следующий и так далее. Основной же проблемой для пользователей довольно популярной системы обмена быстрыми сообщениями является то, что сам тип передачи файлов в мессенджере с момента обнаружения угрозы никак не изменился. Поэтому пока оплошность не будет исправлена пользователям ICQ лучше не отправлять при помощи программы конфиденциальные документы и фотографии.
В ICQ обнаружена серьезная угроза: передаваемые пользователями файлы доступны посторонним лицам
14 января 2013
«Смарт-Технологии» запустили приложение для автоматической заправки самолетов малой авиации
Кибермошенники осваивают портал Госуслуг
Студенты МИФИ, МГИМО и МГУ создадут электронную «Капсулу времени»
Российские инженеры построят самолет «Судного дня»
«РТС-тендер» создаст интерактивного ассистента для малого бизнеса
Юлия Добрынина: быть партнёром для мужчины — особое искусство женщины
TCL дебютировала на выставке ISE 2025 со своими последними инновациями в области коммерческих дисплеев
Univar Solutions приобрела Brad-Chem Holdings, лидера в области продуктов для борьбы с коррозией и смазочных добавок
Проект «СВОя сила» объявил о старте второго потока
Supermicro наращивает полное производство стоечных решений NVIDIA Blackwell на базе NVIDIA HGX B200
Bitget Wallet интегрирует Abstract Mainnet для упрощения доступа пользователей к ончейн-операциям
Партнерство ГК «Юзтех» и «Инфосистемы Джет» меняет подход к управлению ИТ-инфраструктурой