Un ricercatore di sicurezza noto come Yossi ha identificato una significativa vulnerabilità nell’app mobile di Skype, attraverso la quale è possibile scoprire l’indirizzo IP del dispositivo utilizzato dall’utente. Questo problema si presenta quando un link specifico viene incluso all’interno di un messaggio inviato tramite l’app. Nonostante la gravità dell’incidente, Microsoft non ha classificato la situazione come critica e non ha ancora rilasciato una patch per risolvere il problema.
La vulnerabilità in questione riguarda esclusivamente le versioni mobili di Skype per Android e iOS, non coinvolgendo le versioni desktop dell’app. L’operazione richiede l’invio di un messaggio contenente il link specifico, e non è necessario che l’utente clicchi sul link stesso, ma solamente che apra il messaggio.
Dettagli specifici della vulnerabilità non sono stati resi pubblici dal ricercatore, che ha dichiarato che modificare alcune variabili all’interno del link è sufficiente a scatenare l’evento. La criticità della situazione risiede nel fatto che l’indirizzo IP può essere utilizzato per tracciare approssimativamente la posizione geografica dell’utente, rappresentando così un potenziale rischio per individui come attivisti, dissidenti e giornalisti che potrebbero trovarsi in situazioni delicate.
Un esperimento condotto da un reporter di 404 Media ha dimostrato concretamente questa vulnerabilità. Dopo aver inviato un messaggio con un link a Google, il ricercatore ha identificato l’indirizzo IP del reporter. Curiosamente, lo stesso risultato è stato ottenuto anche quando il reporter utilizzava una VPN, che teoricamente dovrebbe nascondere l’indirizzo IP reale del dispositivo.
Alla segnalazione iniziale di Yossi risalente al 12 agosto, Microsoft ha risposto che l’identificazione dell’indirizzo IP non rappresenta una vulnerabilità di sicurezza che richiede intervento immediato tramite patch. Solo dopo una richiesta di chiarimenti da parte di 404 Media, l’azienda ha assicurato che un fix sarà distribuito a breve per risolvere il problema.
1 thought on “Vulnerabilità rilevata in Skype: Esposizione indirizzo IP utente”