Skype как инструмент хакера
В мессенджере Skype обнаружена брешь, позволяющая выяснить реальный IP-адрес пользователя, а по нему – адрес реальный, пишет портал Neowin. Microsoft, которая владеет этим сервисом с 2011 г., прекрасно осведомлена о ее существовании, но совершенно не торопится устранять ее, поскольку не видит в ней источник опасности и неприятностей для пользователя.
«Дыра» скрывается в мобильных версиях Skype для iOS v Android – в настольных модификациях Skype она пока не обнаружена. Проэксплуатировать уязвимость хакер может всего лишь путем отправки собеседнику любой ссылки в окне чата, притом тому даже не придется кликать по ней – IP-адрес станет известен злоумышленнику сразу после отправки сообщения.
Проблему выявил независимый ИБ-специалист под псевдонимом Yossi. Проблема, как оказалось, настолько масштабна, что любой киберпреступник может отправить любому пользователю какую-угодно ссылку и поживиться его IP-адресом благодаря программистам Microsoft.
Неизвестно как, но работает
Yossi доказал наличие уязвимости в Skype, отправив эксперту портала 404media ссылку на поисковик Google. Это была самая обычная прямая ссылка, без скрытого редиректа через сторонние сайты.
Через несколько минут Yossi отправил своему собеседнику второе сообщение, в котором были наборы цифр, разделенные между собой точками. Это был IP-адрес собеседника, и он был абсолютно корректным, вплоть до последней цифры. При этом собеседник, по его же словам, по ссылке даже не переходил – он просто получил сообщение с ней в окне диалога.
В настоящее время эта проблема затрагивает только мобильные приложения Skype и не работает в Skype на настольном компьютере, пишет Neowin, ни сам Yossi, ни его собеседник из 404media, не раскрывают принцип эксплуатации уязвимости по соображениям безопасности. Впрочем, они оба не отрицают тот факт, что выяснить IP-адрес собеседника при помощи Skype «тривиально легко» – по их словам, нужно лишь изменить некий параметр, связанный с отправкой ссылки.
Microsoft абсолютно все равно
Обнаружив уязвимость в Skype, Yossi связался с Microsoft и сообщил корпорации о своей находке. Ответ Microsoft не заставил себя ждать, но в ее письме было вовсе не то, что Yossi ожидал увидеть.
Microsoft дала понять, что не собирается решать проблему в связи с тем, что что раскрытие IP-адреса в Skype «не соответствует определению уязвимости безопасности, которая потребует немедленного устранения». Другими словами, Microsoft заявила, что не видит опасности в том, что кто-то посторонний может за пару секунд узнать реальный IP-адрес любого пользователя Skype и использовать эту информацию по своему усмотрению.
Страх огласки заставляет «переобуться»
На момент публикации материала не было известно, кому Yossi сообщил о «дыре» в Skype раньше – эксперта 404media или сотрудникам Microsoft. Но софтверная корпорация моментально сменила риторику, как только сотрудники 404media обратились к ней за комментариями.
Microsoft по-прежнему утверждает, что выявленная Yossi брешь не настолько серьезна, чтобы требовалось ее скорейшее устранение. Но на этот раз она заявила о готовности залатать ее с релизом одного из следующих обновлений Skype, дату выпуска которого она, впрочем, не раскрыла. На 29 августа 2023 г. соответствующий патч для Skype не существовал.
Уязвимостей больше – популярности меньше
Skype существует с августа 2003 г., и до перехода под крыло Microsoft в 2011 г. он был самым популярным сервисом мгновенного обмена сообщениями с возможностью совершения видеозвонков. К своему 20-летию Skype давно выбыл из топ-6 самых популярных мессенджеров – на начало 2023 г. лидерами, по данным Statista.com были WhatsApp (более 2 млрд ежемесячно активных пользователей), WeChat (1,3 млрд), Telegram (700 млн), Snapchat (635 млн) и QQ (574 млн). В Skype на начало 2023 г. было зарегистрировано около 2,1 млрд пользователей (Statista.com), но ежемесячную активность проявляют лишь 300 млн из них (статистика портала TechJury).
За годы своего существования Skype собрал внушительную коллекцию опасных уязвимостей. Например, летом 2017 г. в нем нашлась критическая брешь, которая позволяла злоумышленнику удаленно вызывать сбой приложения и запускать на компьютере жертвы исполнение вредоносного кода.
В феврале 2018 г. эксперты по безопасности обнаружили в установщике обновлений Skype уязвимость, позволявшую повышать системные привилегии. Устранить ее оказалось совершенно невозможно – Microsoft приняла решение переписать код мессенджера.