La pubblicità su Skype ha provato a scaricare un file sul mio computer usando Javascript

13

Di solito ho Skype in esecuzione in background. Se hai mai usato Skype prima, probabilmente sai che ha pubblicità. Una di queste pubblicità ha fatto apparire due finestre sullo schermo, chiedendo di scaricare un file. Windows lo ha catturato però (per una volta ...). Questo mi ha fatto meravigliare, come è possibile che un annuncio su Skype faccia apparire finestre?

Nota nella prima immagine, è un file .js . Skype consente l'esecuzione di Javascript sul mio computer tramite annunci? Se sì, cosa si può fare? Un utente malintenzionato può accedere ai miei file o tracciare le mie battute? C'è un exploit in Skype che non è stato ancora corretto?

    
posta Greg M 21.04.2016 - 23:44
fonte

2 risposte

9

Mi sembra che Skype stia utilizzando la tecnologia areyouahuman.com per pubblicare solo i propri annunci a "umani".

Perché vuole scaricare il file? Se vedi "Tipo", dice: Indeciso . Quale potrebbe essere un bug nel server areyouahuman che non è riuscito a impostare l'intestazione del tipo di contenuto. Nel caso dei browser, normalmente visualizzano il pop-up "download file" quando il tipo non viene riconosciuto (in modo simile a quello che ti è successo).

Può essere che Skype stia utilizzando un'istanza del browser incorporata per eseguire i banner. Non lo so, è vero, ma sembra che sia così.

Pone un rischio per la sicurezza? Sono sicuro che lo sia. Se Skype sta pubblicando i propri annunci che autorizzano Javascript, qualcuno potrebbe potenzialmente inserirvi del codice dannoso.

Quanto può essere cattivo se ciò accade? Se quello che ho affermato prima è vero, la mia ipotesi è che possa diventare peggiore di qualsiasi vulnerabilità del browser.

Meglio contattare Microsoft e segnalare questo bug.

    
risposta data 22.04.2016 - 05:27
fonte
1

Anche se Skype può eseguire JavaScript, non è necessariamente la fine del mondo. Sono d'accordo che non va bene, poiché aumenta notevolmente l'accesso alla funzionalità. Ma non dimenticare che è in corso la collegamento . Quindi dire "perché qualcuno può eseguire JavaScript sul tuo client significa che sei completamente di proprietà" è come dire che non navigare mai sul web con js attivato *.

  • In realtà cerco di non farlo ma per altri motivi.
risposta data 22.04.2016 - 14:37
fonte

Leggi altre domande sui tag