Исследователь безопасности обнаружил в мобильных приложениях Microsoft Skype ошибку, которая может позволить хакеру раскрыть IP-адрес пользователя. Однако компания так и не решила проблему.
Уязвимость активируется путём отправки ссылки через функцию текстового сообщения Skype. При этом пользователю не нужно кликать на неё, чтобы раскрылся его IP-адрес.
Исследователь отправил ссылку через текстовый чат Skype на google.com. Ссылка вела на настоящий сайт Google. Пользователь открыл чат из приложения Skype на iPad и просмотрел сообщение, не кликая по ссылке. После этого исследователь увидел его IP-адрес.
Проблему не удалось обнаружить в настольной версии Skype.
Исследователь не разглашает подробности о работе бага по соображениям безопасности, но в отчёте утверждается, что уязвимость «тривиально легко использовать благодаря изменению определённого параметра, связанного со ссылкой».
Исследователь отправил информацию об уязвимости в Microsoft. Сначала компания ответила, что раскрытие IP-адреса в Skype «не соответствует определению уязвимости безопасности, которая потребует немедленного решения».
Однако когда журналисты обратились к Microsoft за комментариями, компания заявила, что «будет решать проблему в будущем обновлении продукта, чтобы помочь защитить клиентов». Пока же баг продолжает работать.
