Независимый исследователь безопасности под псевдонимом Yossi обнаружил в мобильной версии Skype уязвимость, которая позволяет злоумышленникам узнать IP-адрес пользователя. В некоторых случаях с её помощью можно определить и местоположение цели.
Жертве даже не нужно нажимать на ссылку или каким-либо иным образом взаимодействовать с сообщением недоброжелателя — достаточно просто открыть его. Сразу после этого конфиденциальные данные передаются на сервер хакера. Как выяснилось, это работает даже с туннелированным трафиком.
По словам исследователя, проблема касается только мобильных приложений Skype. В декстопных версиях сервиса он не обнаружил эту уязвимость.
Когда люди общаются через какой-либо сервис, приложение не только облегчает это общение, но и действует как своего рода буфер между ними. Во многих случаях служба знает IP-адрес каждого отдельного пользователя. Но обычно эта информация скрыта. В Skype же она находится практически в открытом доступе. Получить её может любой человек, который обладает определёнными знаниями в области кибербезопасности.
Yossi
Исследователь безопасности
Йосси уже сообщил об этой уязвимости Microsoft. Однако в компании не придали значения его обращению. Лишь после сообщений журналистов корпорация пообещала исправить её в ближайшем обновлении продукта, не называя при этом точных сроков выпуска патча.