圈小蛙
黑客只需通过Skype移动App发送一个链接,就能获取目标的IP地址,从而可能泄露他们的大致物理位置。一位安全研究人员演示了该问题,他表示,除了打开消息之外,目标不需要点击链接或以其他方式与黑客交互。
发现该漏洞的独立安全研究员Yossi于本月早些时候向微软报告了该问题。微软在这些电子邮件中表示,该问题不需要立即解决,并且没有表明它计划修复该安全漏洞。
此次攻击可能会给活动人士、政治异见人士、记者、网络犯罪分子的目标以及更多人带来严重风险。至少,IP地址可以显示某人所在城市的哪个区域。在人口密度较低的区域,IP地址可能更容易暴露身份,因为与之相关的人较少。
“我认为几乎任何人都可能因此受到伤害,”激进组织电子前沿基金会(EFF)的安全研究员兼高级公共利益技术专家库珀·昆廷(Cooper Quintin)解释这个问题时说道。Quintin表示,主要的担忧是“在物理升级中找到人们的位置,在数字升级中找到人们的IP地址。”
Yossi表示,这个问题仅适用于Skype的移动应用程序。如果用户使用Windows版本或者Mac版本Skype时,他无法获知用户的IP地址。
一般来说,当人们通过应用程序或其他服务聊天时,该应用程序不仅为通信提供了便利,而且还充当了他们之间的缓冲区。在许多情况下,Skype服务将仅通过互联网的工作方式了解每个用户的IP地址。对于要隐藏自身信息的服务,它可能需要做出额外的、注重隐私的工程决策。但即使该服务确实知道每个人的IP地址,它通常也不会共享通话的两个人之间的信息。
然而,Skype确实会在通信的人之间共享这些信息,至少当其中一个人知道如何利用某个安全漏洞时可以做到。Skype允许黑客在受害者不知情或不同意的情况下获取目标用户的IP地址,也就意味着这种攻击可以用来了解目标用户的实际位置和身份。
当Yossi向微软报告该问题时,微软于8月12日表示,“IP地址的泄露不被视为其自身的安全漏洞”根据Yossi分享的电子邮件副本。Yossi随后解释说,IP地址的暴露可能会侵犯某人的隐私,导致嫉妒的伴侣滥用;或者也会导致更具侵入性的网络攻击。
“经调查,我们认为这份报告不符合需要立即提供服务的安全漏洞的定义。这份报告似乎并未发现微软产品或服务中存在可使攻击者破坏微软产品完整性、可用性或保密性的弱点。”微软回应道。
”我们感谢这位安全研究员的工作,他们发现并负责任地报告了自己的发现。“微软发言人在一封电子邮件中说:”我们已经确定,根据我们的严重性分类准则,仅凭一个IP地址的暴露,这份报告并不符合立即提供服务的标准;但是,我们将在未来的产品更新中解决这个问题,作为深度防御的改进,以帮助保护客户。”该发言人没有给出用户何时可以获得更新的时间表,但补充说,该漏洞不会影响Skype的业务产品。
由于微软尚未修复该漏洞,漏洞依然存在。它很容易被利用,并且涉及更改与链接相关的某个参数。
“Skype没有认真对待此事,我感到非常沮丧。”Quintin补充道,“我认为这就是Skype失去如此多市场份额的原因。”