Uma vulnerabilidade nos aplicativos móveis do Skype pode ser explorada por invasores para descobrir o endereço IP de um usuário – uma informação que pode colocar em risco indivíduos cuja segurança física depende de sua localização geral permanecer secreta.
A vulnerabilidade
A vulnerabilidade de segurança foi descoberta por um pesquisador de segurança chamado Yossi, que a relatou em particular à Microsoft e demonstrou sua exploração eficaz ao jornalista Joseph Cox.
Os detalhes da vulnerabilidade não foram compartilhados publicamente, pois ainda não foram corrigidos, mas Cox diz que é “trivialmente fácil de explorar e envolve a alteração de um determinado parâmetro relacionado ao link”.
A vulnerabilidade permite que invasores enviem uma mensagem com um link que revelará o endereço IP do destinatário quando abrirem a mensagem. Eles não precisam clicar no link ou fazer qualquer outra coisa para que o ataque funcione.
Embora a Microsoft tenha inicialmente dito que o problema “não atende à definição de vulnerabilidade de segurança para manutenção que exigiria manutenção imediata”, mais tarde confirmou que será resolvido em “uma atualização futura do produto”.
De acordo com Cox, o ataque funciona se o destinatário usar o aplicativo móvel Skype, mas os usuários de Mac estão seguros. A Microsoft afirma que o produto empresarial do Skype – Skype for Business, parte do Microsoft Office 365 – não foi afetado.
O risco associado
Esta vulnerabilidade pode pôr em perigo dissidentes políticos, jornalistas, agentes responsáveis pela aplicação da lei, vítimas de violência doméstica e outros indivíduos que queiram manter a sua localização sempre secreta.
Embora os endereços IP não revelem a localização precisa de uma pessoa, eles podem revelar sua localização geográfica (país, cidade/área da cidade, CEP). Combinado com outras informações, este pode ser o ponto de dados final necessário para identificar a localização real de um alvo.
Até que a Microsoft resolva o problema, os usuários que possam estar na mira de determinados invasores devem evitar usar o aplicativo móvel Skype. De acordo com Cox, usar uma rede privada virtual (VPN) para se conectar ao Skype não ocultará do invasor o endereço IP real do destinatário.
FONTE: HELP NET SECURITY