Criminosos podem pegar silenciosamente seu IP através do… Skype.
Criminosos são capazes de pegar o endereço IP de um alvo, potencialmente revelando sua localização física geral, simplesmente enviando um link pelo aplicativo móvel do Skype. O alvo não precisa clicar no link ou interagir com o hacker, de acordo com um pesquisador de segurança que demonstrou o problema e descobriu com sucesso o IP da vítima.
Yossi, um pesquisador de segurança independente que descobriu a vulnerabilidade, relatou o problema à Microsoft no início deste mês, de acordo com Yossi e um cache de e-mails e relatórios de bugs que ele compartilhou com a 404 Media. Nesses e-mails, a Microsoft disse que o problema não requer manutenção imediata e não deu nenhuma indicação de que planeja corrigir o buraco de segurança. Somente depois que a 404 Media entrou em contato com a Microsoft para comentar, a empresa disse que corrigiria o problema em uma próxima atualização.
O ataque pode representar um sério risco para ativistas, dissidentes políticos, jornalistas, aqueles alvo de cibercriminosos e muitas outras pessoas. No mínimo, um endereço IP pode mostrar em que área de uma cidade alguém está. Um endereço IP pode ser ainda mais revelador em uma área menos densamente povoada, porque há menos pessoas que poderiam estar associadas a ele.
“Acho que quase qualquer um poderia ser prejudicado por isso”, disse Cooper Quintin, pesquisador de segurança e tecnólogo sênior de interesse público da organização ativista Electronic Frontier Foundation (EFF). Quintin disse que a principal preocupação era “encontrar a localização das pessoas para escalonamentos físicos e encontrar o endereço IP das pessoas para escalonamentos digitais”.
O problema só se aplica aos aplicativos móveis do Skype, disse Yossi. Quando usei a versão Mac do Skype, ele não conseguiu obter o endereço IP.
De um modo geral, quando as pessoas conversam sobre um aplicativo ou outro serviço, o aplicativo não apenas facilita essa comunicação, mas também atua como uma espécie de buffer entre elas.
Em muitos casos, o serviço – neste caso, o Skype – saberá o endereço IP de cada usuário individual simplesmente em virtude de como a internet funciona. Para que um serviço mascare essas informações de si mesmo, ele pode precisar tomar decisões adicionais de engenharia focadas na privacidade. Mas mesmo que o serviço saiba o endereço IP de cada pessoa, ele geralmente não compartilha as informações entre as duas pessoas que falam.
O Skype, no entanto, compartilha essas informações entre as pessoas que falam, pelo menos quando uma delas sabe como explorar uma determinada falha de segurança.
O Skype está permitindo que um hacker entre em contato e pegue o endereço IP de seu alvo sem o conhecimento ou consentimento da vítima.
Quintin apontou para o potencial de abuso contra dissidentes que operam sob pseudônimos. Este ataque poderia ser usado para aprender sua localização física e identidade.
Quando Yossi relatou o problema à Microsoft, a empresa disse em 12 de agosto que a “divulgação de um endereço IP não é considerada uma vulnerabilidade de segurança por conta própria”, de acordo com uma cópia do e-mail que Yossi compartilhou. Yossi então explicou que a exposição de um endereço IP poderia invadir a privacidade de alguém ou levar a ataques cibernéticos mais invasivos também.
“Após a investigação, determinamos que esta submissão não atende à definição de uma vulnerabilidade de segurança para serviços que exigiria serviços imediatos. Este relatório não parece identificar uma fraqueza em um produto ou serviço da Microsoft que permita que um invasor comprometa a integridade, disponibilidade ou confidencialidade de uma oferta da Microsoft”, respondeu a Microsoft.
Somente depois o contato da 404 Media com a Microsoft, a empresa disse que planejava corrigir o problema em um próximo patch.
“Apreciamos o trabalho deste pesquisador de segurança na identificação e relatório responsável de suas descobertas. Determinamos que este relatório não atende ao padrão de manutenção imediata sob nossas diretrizes de classificação de gravidade com base apenas na exposição de um endereço IP; no entanto, abordaremos isso em uma futura atualização do produto como uma defesa em melhoria profunda para ajudar a manter os clientes protegidos ”, disse um porta-voz da Microsoft em um e-mail.
O porta-voz não deu um cronograma para quando os usuários poderiam esperar essa atualização, mas acrescentou que essa vulnerabilidade não afeta o produto comercial da Skype.
Gustavo Saez