Recientemente, los analistas de SpiderLabs Trustwave descubrieron una puerta trasera oculta en Skype para los sistemas operativos macOS y Mac OS X de Apple que podría utilizarse para espiar las comunicaciones de los usuarios sin su conocimiento.

La puerta trasera (backdoor) se encuentra en la Interfaz de Programación de Aplicaciones (API) que permite a los complementos y aplicaciones de terceros comunicarse con la aplicación Skype de Microsoft, un servicio de chat de video y mensajería.

Al parecer la vulnerabilidad existe desde 2010. La puerta trasera podría permitir que cualquier aplicación maliciosa de terceros omita el procedimiento de autenticación y obtenga un acceso casi total a Skype en Mac OS X.

Cómo un atacante puede tomar el control completo de su Skype

La aplicación malintencionada podría evadir el proceso de autenticación si "se identificara como el programa responsable de interactuar con la API de escritorio usando el nombre del widget Skype Dashboard".

El acceso a esta puerta trasera es fácil. Todo lo que los atacantes tienen que hacer es cambiar una cadena de texto en las aplicaciones a este valor "Skype Dashbd Wdgt Plugin", y la API del escritorio proporcionará acceso a las principales características de Skype.

Un atacante o cualquier programa malicioso que abuse de esta puerta trasera podría realizar las siguientes acciones:

• Leer notificaciones de mensajes entrantes (y su contenido)
• Interceptar, leer y modificar mensajes
• Registrar y grabar audio de llamada de Skype
• Crear sesiones de chat
• Recuperar información de contacto del usuario

Los investigadores también han proporcionado el código en Objective-C de una prueba de concepto que inicia el proceso de conexión sin solicitar permiso al usuario para que el proceso se conecte a Skype.

Se cree que la puerta trasera pudo haber sido creada por un desarrollador de Skype antes de que Microsoft adquiriera la compañía y probablemente se expuso a más de 30 millones de usuarios de Mac OS X.

Trustwave notificó a Microsoft de la vulnerabilidad en octubre y la compañía ha solucionado el problema en Skype 7.37 y versiones posteriores.

Esto es lo que un portavoz de Microsoft dijo sobre la puerta trasera:

Nosotros no construimos puertas traseras en nuestros productos, sino que continuamente mejoramos la experiencia del producto [y] la seguridad del producto y siempre animamos a los clientes a actualizar a la última versión.

Trustwave también especuló sobre la creencia de que la puerta trasera había sido dejada accidentalmente en Skype "durante el proceso de implementación del complemento dashboard", ya que el widget de Skype no parece utilizarlo.

Todas las versiones de Skype para macOS y Mac OS X, incluida la versión 7.35, son vulnerables. Por lo que se recomienda a los usuarios a actualizar su instalación de Skype lo antes posible.