Um novo relatório afirma que a Microsoft não corrigiu uma falha do Skype que poderia revelar seu endereço IP

Um novo relatório afirma que há uma falha grave nos aplicativos móveis de bate-papo do Skype da Microsoft que poderia permitir que um hacker detectasse o endereço IP de um usuário. A falha é supostamente habilitada apenas enviando um link através do recurso de mensagem de texto do Skype, e o link não precisa ser clicado para que o endereço IP seja revelado.

A nova falha, conforme relatada por 404Media.co , foi descoberta pela primeira vez por um pesquisador de segurança independente que atende pelo nome de “Yossi”. O artigo descreve como esse problema funcionou:

Para começar, Yossi me enviou um link via chat de texto do Skype para google.com. O link era para o site real do Google, e não para um impostor. Em seguida, abri o Skype em um iPad e vi a mensagem do bate-papo. Eu nem cliquei no link. Mas logo depois, Yossi colou meu endereço IP no chat. Estava correto.

O artigo acrescenta que esse problema afeta apenas os aplicativos móveis do Skype e parece não funcionar no Skype para desktop. Detalhes sobre como esse problema funciona do lado do hacker não foram revelados por razões de segurança, mas o artigo afirma que a falha é “trivialmente fácil de explorar e envolve a alteração de um determinado parâmetro relacionado ao link”.

Yossi enviou suas informações sobre a falha para a Microsoft. A resposta inicial da empresa a Yossi foi que a exposição do endereço IP no Skype “não atende à definição de vulnerabilidade de segurança para manutenção que exigiria manutenção imediata”.

No entanto, quando 404media.com pediu comentários à Microsoft, a empresa afirmou que embora este problema com o Skype não fosse um problema de segurança imediato baseado apenas na exposição do endereço IP, “iremos abordá-lo numa futura actualização do produto como uma defesa em melhoria profunda para ajudar a manter os clientes protegidos.”No momento em que este livro foi escrito, a Microsoft ainda não corrigiu esse problema.