Un ricercatore di sicurezza (Yossi) ha scoperto una vulnerabilità piuttosto grave nell’app mobile di Skype che consente di ottenere l’indirizzo IP dell’utente. È sufficiente solo inserire un particolare link all’interno del messaggio. Microsoft ritiene che non si tratti di un problema serio, quindi non ha ancora rilasciato la patch.
Skype svela l’indirizzo IP, ma è tutto OK
Il ricercatore di sicurezza ha scoperto che la vulnerabilità consente di rivelare l’indirizzo IP del dispositivo mobile usato dall’utente. Il problema è quindi presente nelle app di Skype per Android e iOS, non su desktop. È sufficiente inviare un messaggio con un link particolare. Non serve cliccare sul link, ma solo aprire il messaggio.
Il ricercatore non ha svelato i dettagli della vulnerabilità, specificando solo che basta cambiare alcuni parametri relativi al link. Il bug è piuttosto grave, in quanto dall’indirizzo IP è possibile risalire con una buona approssimazione alla posizione geografica. Ciò rappresenta un rischio per attivisti, dissidenti e giornalisti.
Il reporter di 404 Media ha testato personalmente la vulnerabilità. Dopo aver inviato un messaggio con un link a Google, il ricercatore ha scoperto l’indirizzo IP del reporter. Lo stesso risultato è stato ottenuto quando il reporter ha usato una VPN (che in teoria dovrebbe nascondere il vero indirizzo IP del dispositivo).
Quando Yossi ha segnalato il problema (12 agosto), Microsoft ha risposto che la scoperta dell’indirizzo IP non è una vulnerabilità di sicurezza, per la quale è necessario intervenire subito con il rilascio della patch. Dopo solo aver ricevuto una richiesta di informazioni da 404 Media, l’azienda di Redmond ha promesso la distribuzione di un fix.