Skype mobil uygulamalarındaki bir güvenlik açığı, saldırganlar tarafından kullanıcının IP adresini (fiziksel güvenliği genel konumlarının gizli kalmasına bağlı olan kişileri tehlikeye atabilecek bir bilgi parçası) keşfetmek için kullanılabilir.
Güvenlik açığı
Güvenlik açığı, bunu Microsoft’a özel olarak bildiren ve gazeteci Joseph Cox’a etkili bir şekilde kullanıldığını gösteren Yossi adlı bir güvenlik araştırmacısı tarafından keşfedildi.
Henüz yama yapılmadığı için güvenlik açığına ilişkin ayrıntılar kamuya açıklanmadı ancak Cox, bunun “sömürülmesinin son derece kolay olduğunu ve bağlantıyla ilgili belirli bir parametrenin değiştirilmesini gerektirdiğini” söylüyor.
Güvenlik açığı, saldırganların, mesajı açtıklarında alıcının IP adresini ortaya çıkaracak bir bağlantı içeren bir mesaj göndermesine olanak tanıyor. Saldırının işe yaraması için bağlantıya tıklamaları veya başka bir şey yapmaları gerekmez.
Microsoft başlangıçta sorunun “hemen servis gerektirecek bir servis güvenlik açığı tanımına uymadığını” söylese de daha sonra “gelecekteki bir ürün güncellemesinde” bu sorunun çözüleceğini doğruladı.
Cox’a göre saldırı, alıcı Skype mobil uygulamasını kullanıyorsa işe yarıyor ancak Mac kullanıcıları güvende. Microsoft, Skype’ın iş ürününün (Microsoft Office 365’in bir parçası olan Skype Kurumsal) etkilenmediğini iddia ediyor.
İlgili risk
Bu güvenlik açığı siyasi muhalifleri, gazetecileri, kolluk kuvvetlerini, aile içi şiddet mağdurlarını ve konumlarını her zaman gizli tutmak isteyen diğer kişileri tehlikeye atabilir.
IP adresleri bir kişinin kesin konumunu göstermese de coğrafi konumunu (ülke, şehir/şehir alanı, posta kodu) ortaya çıkarabilir. Diğer bilgilerle birleştirildiğinde bu, bir hedefin gerçek konumunu tam olarak belirlemek için gereken son veri noktası olabilir.
Microsoft sorunu çözene kadar, kararlı saldırganların hedefinde olabilecek kullanıcıların Skype mobil uygulamasını kullanmaktan kaçınması gerekiyor. Cox’a göre Skype’a bağlanmak için sanal özel ağ (VPN) kullanmak, alıcının gerçek IP adresini saldırgandan gizlemeyecektir.