Chyba ve Skypu odhaluje polohu uživatele a jeho návyky

5. 12. 2011

Sdílet

Podle výzkumníků mohou útočníci díky chybě získat informace o místě pobytu uživatele, jeho identitě a obsahu, který stahuje. Microsoft, majitel Skypu, již pracuje na rychlé opravě.

Na problém upozornil mezinárodní tým složený z odborníků Polytechnického institutu Newyorské univerzity (NYU-Poly), německého MPI-SWS, francouzského INRIA a několika dalších výzkumníků. Výsledky svého výzkumu skupina prezentovala naposledy na Internet Measurement Conference 2011 v Berlíně prostřednictvím dokumentu nazvaného „Vím, kde jste a co sdílíte.“

Vědci přišli na díru ve službě Skype, díky které je možné sledovat nejen aktuální polohu uživatele, ale také jeho snahu o sdílení dat prostřednictvím P2P  (peer-to-peer) technologie. Již dříve pak jistý německý výzkumník objevil XSS (cross-site scripting) zranitelnost, která cizí osobě umožňuje změnit uživatelovo heslo bez jeho vědomí. „I když uživatel zakáže hovory nebo žádosti o připojení přicházející zpoza Network Address Translation (NAT), nejčastějšího typu firewallu, není dostatečně chráněn,“ píše se v prohlášení NYU-Poly.

Výzkumný tým sledovat Skype účty asi 20 dobrovolníků a dalších 10 tisíc náhodných uživatelů po dobu dvou týdnů a zjistil, že lidé volající někomu jinému přes VoIP systémy mohou snadno získat IP adresu volaného uživatele. K zveřejnění této informace podle nich dochází ve chvíli, kdy se vytváří telefonické spojení. Volajícímu pak stačí použít GeoIP nástroj pro zjištění aktuální polohy druhého uživatele a získání informací o poskytovateli jeho internetového připojení. Druhá strana si přitom ani nemusí všimnout, že se s ní někdo snaží navázat spojení. Dokonce ani nemusí mít volajícího ve svých kontaktech, protože vědci přišli na způsob, jak obejít blokování hovorů od cizích uživatelů.

Microsoft byl již na nedostatky ve své službě upozorněn. Než uvolní potřebné opravy, vyzval uživatele, aby Skype měli zapnutý pouze ve chvíli, kdy jej opravdu používají a nenechávali jej tak permanentně spuštěný bez jakékoliv kontroly. Zároveň doporučil používat takové přezdívky, ze kterých jasně nevyplývá skutečné jméno uživatele.