Falha de segurança no Skype está revelando o IP dos usuários
Por Felipe Demartini • Editado por Wallace Moté |
Uma brecha de segurança no Skype permite que cibercriminosos tenham acesso ao IP dos usuários a partir de uma conversa convencional. Basta a visualização de uma mensagem com um link malicioso, no qual nem é preciso clicar, para que o atacante tenha acesso à informação que pode representar riscos à privacidade da vítima.
Os links perigosos podem, inclusive, direcionar o usuário para serviços legítimos, de forma que o usuário mirado pela exploração nem mesmo perceba o que está acontecendo. Enquanto isso, a exibição da mensagem permite a obtenção das informações que não deveriam ser abertas ao público e, assim, podem indicar a localização aproximada do alvo.
A brecha foi descoberta pelo pesquisador independente Yossi e relatada ao site de tecnologia 404 Media. Segundo o especialista, a vulnerabilidade está presente nas versões mobile do Skype, para iOS e Android, mas não apareceria no desktop, com os usuários do aplicativo no Windows e macOS seguros de explorações relacionadas à falha. Os detalhes dela também não foram revelados, já que ela segue ativa e ainda não foi corrigida pela Microsoft; o software, aliás, não é mais destaque entre as ofertas da empresa há alguns anos.
Na visão de Yossi, alvos políticos e pessoas de interesse estariam sob maior risco por conta da vulnerabilidade. Enquanto suas identidades podem estar escondidas por pseudônimos durante o uso do Skype, a obtenção de seus endereços IP pode levar à descoberta da localização aproximada e, por sua vez, o cruzamento com outras informações que um estado-nação ou agência de segurança tenha sobre eles, levando a uma possível identificação.
O especialista argumenta ainda que a visualização de endereços IP durante uma conversa pode ser parte usual da comunicação online, ainda que protocolos de segurança possam ser aplicados pelos desenvolvedores. Por outro lado, esse tipo de dado não deveria ser visualizado pelos próprios usuários, algo possível agora através da falha de segurança no Skype.
A obtenção de endereços IP, ainda, pode levar a riscos adicionais de segurança. Caso a informação seja cruzada com bancos de dados vazados que também tragam tais registros, ainda mais informações dos usuários podem ser descobertas, com a possibilidade de golpes de phishing direcionados e tentativas de intrusão a contas, entre outros ataques.
Microsoft está trabalhando em atualização para o Skype
Yossi relata ainda que a responsável pelo Skype, inicialmente, não considerou a exposição de endereços IP como uma questão de segurança. Entretanto, após contato da imprensa, a Microsoft agradeceu ao relato do pesquisador e disse estar trabalhando em uma correção para o aplicativo; enquanto reforçou que a brecha não tem os requisitos para ser considerada como vulnerabilidade, a empresa disse entender que o update fortaleceria as proteções de privacidade do app.
Enquanto a atualização não vem, os usuários continuam vulneráveis. O ideal é prestar atenção aos links enviados durante as conversas, principalmente quando vierem de contatos desconhecidos ou sem muita relação com o contexto dos bate-papos. Os mais preocupados podem interromper o uso dos apps para iOS e Android até a liberação da correção.
Enquanto isso, usar uma VPN pode ajudar a proteger a conexão e mascarar a identidade online. Neste caso, mesmo que a exploração aconteça, o criminoso responsável não receberia o IP real do usuário, que continuaria com sua privacidade e localização aproximada protegidas.
Fonte: 404media