Nowy raport twierdzi, że Microsoft nie naprawił usterki Skype, która mogła ujawnić Twój adres IP

Z nowego raportu wynika, że ​​w aplikacjach mobilnych Microsoftu do czatowania na Skype występuje poważna luka, która może umożliwić hakerowi wykrycie adresu IP użytkownika. Według doniesień luka włącza się po prostu poprzez wysłanie łącza za pośrednictwem funkcji wiadomości tekstowych Skype’a, a łącze nie musi być klikane, aby adres IP został ujawniony.

Jak donosi 404Media.co , nową lukę odkrył niezależny badacz bezpieczeństwa, posługujący się pseudonimem „Yossi”. W artykule opisano, jak działał ten problem:

Na początek Yossi wysłał mi link za pośrednictwem czatu tekstowego Skype do google.com. Link prowadził do prawdziwej witryny Google, a nie do witryny oszusta. Następnie otworzyłem Skype na iPadzie i przejrzałem wiadomość na czacie. Nawet nie kliknąłem w link. Ale wkrótce potem Yossi wkleił mój adres IP do czatu. To było poprawne.

W artykule dodano, że ten problem dotyczy tylko aplikacji mobilnych Skype i wydaje się, że nie działa w Skypie na komputerze. Ze względów bezpieczeństwa nie ujawniono szczegółów działania tego problemu po stronie hakera, ale w artykule stwierdzono, że luka jest „banalnie łatwa do wykorzystania i polega na zmianie określonego parametru związanego z łączem”.

Yossi przesłał swoje informacje o usterce do firmy Microsoft. Początkowa odpowiedź firmy na Yossiego była taka, że ​​ujawnienie adresu IP w Skypie „nie spełnia definicji luki w zabezpieczeniach umożliwiającej obsługę serwisową, która wymagałaby natychmiastowej naprawy”.

Jednak gdy witryna 404media.com poprosiła firmę Microsoft o komentarz, firma oświadczyła, że ​​chociaż ten problem ze Skypem nie stanowi bezpośredniego problemu bezpieczeństwa opartego wyłącznie na ujawnieniu adresu IP, „zajmiemy się nim w przyszłej aktualizacji produktu jako zabezpieczenie w dogłębne udoskonalenia, aby pomóc chronić klientów”. W chwili pisania tego tekstu firma Microsoft nie rozwiązała jeszcze tego problemu.