Microsoftowi niespecjalnie spieszy się z załataniem luki, która może być wykorzystana do łatwego uzyskania przez nieupoważnioną osobę naszego adresu IP. Firma stwierdza, że tego typu podatność nie kwalifikuje się do pilnej aktualizacji.
Skype ma lukę, która zdradza adres IP
Dziura, o której mowa, została zdemaskowana przez niezależnego badacza bezpieczeństwa, Yossi. Aplikacja mobilna Skype ma nieszczelność, która pozwala niepowołanym osobom pozyskać nasz adres IP. Wystarczy, że odbierzemy wiadomość zawierającą link. Nawet nie trzeba przechodzić na stronę z odnośnika. Czyni to z tej luki bardzo łatwą do wykorzystania.
Co ciekawe, nie ma żadnego znaczenia, do jakiej strony prowadzi wspomniany link. Może to być odnośnik przenoszący nas bezpośrednio na stronę główną wyszukiwarki Google, czy na Tabletowo. Wszystko jedno. Yossi, prezentując wykorzystanie luki bezpieczeństwa, był w stanie uzyskać adres IP ofiary – i to nawet w przypadku, gdy korzystała ona z VPN, a więc sieci z założenia maskującej naszą lokalizację.
Microsoft jest zdania, że nic wielkiego się nie dzieje
Yossi skontaktował się z Microsoftem 12 sierpnia, podając problem jak na tacy. W odpowiedzi uzyskał podobno stwierdzenie, że „samo ujawnienie adresu IP nie jest uważane za lukę w zabezpieczeniach”, a także wyjaśnienie, że problem ten „nie spełnia definicji luki w zabezpieczeniach”, która wymagałaby natychmiastowej naprawy.
Narracja zmieniła się nieco, gdy do Microsoftu napisali specjaliści z 404 Media. Wsparcie produktowe z Redmond stwierdziło, że deweloperzy zajmą się usterką i że zostanie ona usunięta dzięki najbliższej aktualizacji. Nie podano jednak żadnego, nawet przybliżonego harmonogramu.
W międzyczasie hakerzy mogą swobodnie korzystać z nieprawidłowości, wykorzystując ją do własnych celów. 404 Media oczywiście nie pozostawia instrukcji, jak wykorzystać dziurawy kod Skype’a, ale wykorzystanie go jest ponoć banalnie proste i sprowadza się do szybkiej modyfikacji określonego parametru linku.
Cóż, należy mieć tylko nadzieję, że zapowiedziana aktualizacja pojawi się stosunkowo szybko. Co prawda może nie ma wśród nas zbyt wielu użytkowników Skype’a, ale jeśli już korzystamy z tej apki, to miło by było wiedzieć, że jest względnie bezpieczna.
Wprowadzono niepoprawny url do wpisu z oiot.pl, poprawny format powinien wyglądać tak: „https://oiot.pl/facebok-messenger-grupowe-efekty-ar/”.