Skype może ujawnić adres IP. Microsoft nie załatał podatności

22

Według nowego raportu 404Media.co aplikacja mobilna Skype umożliwia wykrycie adresu IP użytkownika po drugiej stronie. Wystarczy jedynie wysłać link na czacie. Ofiara nawet nie musi nawet go otwierać, aby atakujący poznał jej adres IP. Co zaskakujące, Microsoft początkowo nie uznał tego za podatność.

Tę lukę w ochronie Skype jako pierwszy odkrył niezależny badacz zabezpieczeń o ksywce Yossi. Jak donosi Joseph Cox z 404 Media:

Yossi wysłał mi wiadomość na Skype z linkiem do google.com. Link był do prawdziwej strony Google, nie był zamaskowany. Otworzyłem następnie Skype na iPadzie i zobaczyłem wiadomość na czacie. Nie kliknąłem linku. Ale niedługo potem Yossi wkleił mój adres IP na czacie. Był prawidłowy.
— Joseph Cox z 404 Media

Autor zweryfikował tę metodę dwukrotnie: najpierw poprzez VPN, a następnie bez niego, łącząc się z publiczną siecią Wi-Fi. Za każdym razem otrzymał prawidłowy adres IP. Problem dotyczy jedynie aplikacji mobilnych Skype. Co ciekawe, gdy Yossi skontaktował się z Microsoft, firma odpowiedziała mu 12 sierpnia, że ujawnienie adresu IP nie jest samo w sobie postrzegane jako podatność bezpieczeństwa. Dopiero gdy 404 Media skontaktowało się z Microsoftem, ten odpowiedział, że planuje rozwiązać ten problem w nadchodzącym patchu.

Więcej od autora
1 z 168

Doceniamy pracę tego badacza zabezpieczeń na rzecz identyfikacji i odpowiedzialnego zgłoszenia jego odkryć. Ustaliliśmy, że to zgłoszenie nie spełnia wymagań dotyczących natychmiastowej obsługi zgodnie z naszymi wytycznymi dotyczącymi klasyfikacji ważności na podstawie samego ujawnienia adresu IP. Jednakże zajmiemy się tym w przyszłej aktualizacji produktu jako dogłębne ulepszenie obrony, które pomoże chronić klientów.
— Rzecznik prasowy Microsoft

Rzecznik nie podał harmonogramu, kiedy użytkownicy mogą spodziewać się tej aktualizacji, ale dodał, że ta luka nie ma wpływu na „produkt biznesowy Skype”.

Źródło: centrumxp
Komentarz