Исследователь безопасности обнаружил в мобильных приложениях Microsoft Skype ошибку, которая может позволить хакеру раскрыть IP-адрес пользователя. Однако компания так и не решила проблему.
Уязвимость активируется путём отправки ссылки через функцию текстового сообщения Skype. При этом пользователю не нужно кликать на неё, чтобы раскрылся его IP-адрес.
Исследователь отправил ссылку через текстовый чат Skype на google.com. Ссылка вела на настоящий сайт Google. Пользователь открыл чат из приложения Skype на iPad и просмотрел сообщение, не кликая по ссылке. После этого исследователь увидел его IP-адрес.
Проблему не удалось обнаружить в настольной версии Skype.
Исследователь не разглашает подробности о работе бага по соображениям безопасности, но в отчёте утверждается, что уязвимость «тривиально легко использовать благодаря изменению определённого параметра, связанного со ссылкой».
Исследователь отправил информацию об уязвимости в Microsoft. Сначала компания ответила, что раскрытие IP-адреса в Skype «не соответствует определению уязвимости безопасности, которая потребует немедленного решения».
Однако когда журналисты обратились к Microsoft за комментариями, компания заявила, что «будет решать проблему в будущем обновлении продукта, чтобы помочь защитить клиентов». Пока же баг продолжает работать.
Этим динозавром ещё пользуются? 😅
не баг, а фича
психи из Майкрософт совсем охамели безопасность не обеспечить. Не хотят признавать, что у них дырка, а потом, когда журналюги надавили - говорят, может быть, потом исправим. Хорошо еще этот исследователь нашел, а то кто знает, сколько хакеров уже IP-адреса подчищали. А эти - "да это не уязвимость такая, все нормально". Да ничего нормально, когда кто угодно может узнать, откуда ты сидишь. Надо было сразу лечить, а не отмазки всякие вещать. Жалко, что этот баг только в Скайпе для мобилок работает, а то на ПК бы точно похулиганил. Вот бы получил IP адреса пары сотен пользователей, да и нагрузил их ДДосом - чтоб Майкрософт поняла, каково оставлять дыры. Но увы, придется ждать пока они сами "может быть" починят. А потом будут удивляться