Det eneste som skal til for kriminelle som ønsker å hente en IP-adresse fra en Skype-bruker er å sende en melding.
Ingen lenke-klikking nødvendig
Feilen er oppdaget i mobil-versjonen av appen, og det trengs ikke en gang bruker-interaksjon med lenken. Personen i andre enden som ønsker å hente ut den eksterne IP-adressen trenger kun å formatere f.eks. lenken til google.com på en spesielle måte, for å få hentet ut IP-adressen. Nøyaktig hva som endres i strengen er ikke avslørt av sikkerhetshensyn.
Det som er spesielt med saken er at Microsoft 12. august meddelte tilbake til vedkommende som fant feilen, at det på generelt grunnlag ikke er en sikkerhetsfeil at en IP-adresse avsløres. Ved hjelp av en IP-adresse kan det være mulig å triangulere seg inn til en omtrentlig plassering til personen som kontaktes.
“Denne rapporten ser ikke ut til å identifisere en svakhet i et Microsoft-produkt eller en tjeneste som vil gjøre det mulig for en angriper å kompromittere integriteten, tilgjengeligheten eller konfidensialiteten til et Microsoft-produkt,” meldte Microsoft tilbake, men så endret de mening. Dette skal kun ha skjedd etter at 404 Media kontaktet selskapet som melder at en kommende oppdatering vil rette feilen.
Annonse
