Hakeri mogu da uzmu vaš IP preko Skajpa, a Majkrosoft ne žuri da to popravi
Hakeri mogu da uzmu IP adresu cilja, potencijalno otkrivajući njihovu opštu fizičku lokaciju, jednostavnim slanjem veze preko Skype mobilne aplikacije. Cilj ne mora da klikne na vezu ili da na drugi način stupi u interakciju sa hakerom osim otvaranja poruke, kaže istraživač bezbednosti koji je pokazao problem i uspešno otkrio IP adresu novinara koji je razgovarao sa njim.
Josi, nezavisni istraživač bezbednosti koji je otkrio ranjivost, prijavio je problem Microsoft-u ranije ovog meseca, prema Josi-u i kešu mejlova i izveštaja o greškama koje je podelio sa „404 Media“. U tim imejlovima Microsoft je rekao da problem ne zahteva hitno servisiranje i nije dao naznake da planira da popravi bezbednosnu rupu. Tek nakon što je „404 Media“ kontaktirao Microsoft za komentar, kompanija je rekla da će popraviti problem u predstojećem ažuriranju.
Napad bi mogao predstavljati ozbiljan rizik za aktiviste, političke disidente, novinare, one na meti sajber kriminalaca i mnoge druge ljude. U najmanju ruku, IP adresa može da pokaže u kom delu grada se neko nalazi. IP adresa može biti još vidljivija u manje gusto naseljenom području, jer ima manje ljudi koji bi mogli biti povezani sa njom.
„Mislim da bi ovo moglo da nanese štetu skoro svakome“, rekao je Kuper Kvintin, istraživač bezbednosti i viši tehnolog od javnog interesa u aktivističkoj organizaciji Electronic Frontier Foundation (EFF), kada mu je objašnjen problem. Kvintin je rekao da je glavna briga „pronalaženje lokacije ljudi za fizičke eskalacije i pronalaženje IP adresa ljudi za digitalne eskalacije“.
„Da bih proverio da li ranjivost ima uticaj koji je Josi opisao, zamolio sam ga da je testira na meni. Za početak, Josi mi je poslao vezu preko Skajp tekstualnog ćaskanja do google.com. Veza je bila ka pravom Gugl sajtu, a ne klonu“, kaže novinar.
„Zatim sam otvorio Skajp na iPad-u i pogledao poruku za ćaskanje. Nisam ni kliknuo na vezu. Ali vrlo brzo nakon toga, Josi je kopirao moju IP adresu u ćaskanje. Bilo je tačno“.
„Za taj prvi test, povezao sam se na Skajp koristeći virtuelnu privatnu mrežu, koja vas može zaštititi od toga da drugi saznaju vašu kućnu ili kancelarijsku IP adresu. Želeo sam još jednom da proverim potencijal za zloupotrebu sa ovom ranjivošću, pa sam se onda povezao na javnu Wi-Fi mrežu bez VPN-a i zamolio Josija da pošalje još jednu vezu. Ovaj put je poslao vezu na 404media.co. Kao i prethodni test, sama veza je bila legitimna i nije lažna“.
U najnovijoj akciji SOROŠ kupio najveće medije u Poljskoj https://t.co/DXvXXn6fDI
— Nulta Tačka (@NultaTackaSrb) August 29, 2023
„Još jednom, Josi je pronašao moju trenutnu IP adresu. Ovog puta je ukazivalo na područje grada iz kojeg sam razgovarao“.
„Prokletstvo, RIP 💀“, napisao je novinar u odgovoru.
Problem se odnosi samo na Skajpove mobilne aplikacije, rekao je Josi. Kada sam koristio Mac verziju Skajpa, on nije mogao da sazna moju IP adresu.
Uopšteno govoreći, kada ljudi ćaskaju preko aplikacije ili druge usluge, aplikacija ne samo da olakšava tu komunikaciju već se ponaša i kao neka vrsta bafera između njih. U mnogim slučajevima usluga — u ovom slučaju, Skype — će znati IP adresu svakog pojedinačnog korisnika jednostavno na osnovu načina na koji internet funkcioniše. Da bi usluga prikrila te informacije od sebe, možda će morati da donese dodatne inženjerske odluke usredsređene na privatnost. Ali čak i ako usluga zna IP adresu svake osobe, obično ne deli informacije između dvoje ljudi koji govore.
Skajp, međutim, deli te informacije među ljudima koji govore, barem kada neko od njih zna kako da iskoristi određenu bezbednosnu rupu. Skajp dozvoljava hakeru da posegne i zgrabi IP adresu svog cilja bez znanja ili pristanka žrtve. Kvintin je ukazao na potencijal zloupotrebe protiv disidenata koji deluju pod pseudonimima. Ovaj napad bi se mogao iskoristiti da se sazna njihova fizička lokacija i identitet.
Kada je Josi prijavio problem Microsoft-u, kompanija je 12. avgusta rekla da se „otkrivanje IP adrese ne smatra samo po sebi bezbednosnim problemom“, navodi se u kopiji imejla koji je Josi podelio. Josi je tada objasnio da bi otkrivanje IP adrese moglo narušiti nečiju privatnost, dovesti do zloupotrebe od strane ljubomornog partnera; ili dovesti do više invazivnih sajber napada.
„Nakon istrage, utvrdili smo da ovaj podnesak ne ispunjava definiciju bezbednosne ranjivosti za servisiranje koja bi zahtevala hitno servisiranje. Čini se da ovaj izveštaj ne identifikuje slabost u Majkrosoftovom proizvodu ili usluzi koja bi omogućila napadaču da ugrozi integritet, dostupnost ili poverljivost Majkrosoft ponude“, odgovorili su iz Majkrosofta.
Tek nakon što je „404 Media“ kontaktirao Majkrosoft za komentar, kompanija je rekla da planira da reši problem u predstojećoj zakrpi.
„Cenimo rad ovog istraživača bezbednosti na identifikovanju i odgovornom izveštavanju o njihovim nalazima. Utvrdili smo da ovaj izveštaj ne ispunjava standarde za trenutno servisiranje prema našim smernicama za klasifikaciju ozbiljnosti na osnovu samo izloženosti IP adrese; međutim, mi ćemo to adresirati u budućem ažuriranju proizvoda kao dubinski napredak odbrane kako bismo pomogli da klijenti budu zaštićeni“, rekao je portparol Majkrosofta u e-poruci. Portparol nije dao vremenski okvir kada bi korisnici mogli očekivati ovo ažuriranje, ali je dodao da ova ranjivost ne utiče na Skajp poslovni proizvod.
Pošto Majkrosoft to nije popravio, „404 Media“ ne objašnjava detaljno specifičnosti ranjivosti. Ali to je trivijalno lako iskoristiti i uključuje promenu određenog parametra koji se odnosi na vezu.
Ranjivost ostaje. Od ponedeljka, problem je i dalje bio repliciran.
„Veoma sam užasnut što Skajp ovo neće shvatiti ozbiljno“, dodao je Kvintin. „Mislim da je ovo pokazatelj zašto je Skajp izgubio toliki udeo na tržištu“.
