29/08/23
В мессенджере Skype обнаружена брешь, позволяющая выяснить реальный IP-адрес пользователя, а по нему – адрес реальный, пишет портал Neowin. Microsoft, которая владеет этим сервисом с 2011 г., прекрасно осведомлена о ее существовании, но совершенно не торопится устранять ее, поскольку не видит в ней источник опасности и неприятностей для пользователя, согласно CNews.
«Дыра» скрывается в мобильных версиях Skype для iOS v Android – в настольных модификациях Skype она пока не обнаружена. Проэксплуатировать уязвимость хакер может всего лишь путем отправки собеседнику любой ссылки в окне чата, притом тому даже не придется кликать по ней – IP-адрес станет известен злоумышленнику сразу после отправки сообщения.
Проблему выявил независимый ИБ-специалист под псевдонимом Yossi. Проблема, как оказалось, настолько масштабна, что любой киберпреступник может отправить любому пользователю какую-угодно ссылку и поживиться его IP-адресом благодаря программистам Microsoft.
Обнаружив уязвимость в Skype, Yossi связался с Microsoft и сообщил корпорации о своей находке. Ответ Microsoft не заставил себя ждать, но в ее письме было вовсе не то, что Yossi ожидал увидеть.
В настоящее время эта проблема затрагивает только мобильные приложения Skype и не работает в Skype на настольном компьютере, пишет Neowin, ни сам Yossi, ни его собеседник из 404media, не раскрывают принцип эксплуатации уязвимости по соображениям безопасности. Впрочем, они оба не отрицают тот факт, что выяснить IP-адрес собеседника при помощи Skype «тривиально легко» – по их словам, нужно лишь изменить некий параметр, связанный с отправкой ссылки.
Microsoft дала понять, что не собирается решать проблему в связи с тем, что что раскрытие IP-адреса в Skype «не соответствует определению уязвимости безопасности, которая потребует немедленного устранения». Другими словами, Microsoft заявила, что не видит опасности в том, что кто-то посторонний может за пару секунд узнать реальный IP-адрес любого пользователя Skype и использовать эту информацию по своему усмотрению.
