- Как Йосси показал Microsoft их собственные слабые места
- Что же такое IP-адрес и почему это опасно
- Почему Microsoft считает это «не проблемой»
- Таблица — кто кому и что может сделать с IP-адресом
- Skype — ветеран среди мессенджеров с историей уязвимостей
- Что делать пользователям Skype
- Что говорит практика и эксперты безопасности
- Заключение
Собираемся погрузиться в историю с настоящим «трюком фокусника» от Microsoft, в котором их мобильный Skype за доли секунды выдает IP-адреса пользователей, словно горячие пирожки на базаре. Но почему же Microsoft считает, что в этом нет никакой проблемы? Давайте разбираться, кто такой Йосси, как уязвимость работает и чем всё это грозит.
Как Йосси показал Microsoft их собственные слабые места
Йосси — не шпион из Голливуда, а независимый исследователь безопасности, который наткнулся на очень неприятный баг в мобильных версиях Skype для iOS и Android. Эта уязвимость позволяет хакерам получить IP-адрес собеседника, просто отправив ему сообщение с любой ссылкой. Никаких кликов, переходов и танцев с бубном — IP-адрес выдается в открытом виде сразу при получении сообщения. Примерно как если бы вы отправили другу конфету, а получили взамен его адрес и паспорт.
Чтобы продемонстрировать эффект, Йосси отправил журналисту 404media обычную ссылку на Google. Через пару минут пришло второе сообщение с точным IP-адресом получателя — цифры, разделённые точками, были правильными до последней детали, даже несмотря на использование VPN.
Microsoft об этом знал с 12 августа, но их ответ был словно из другой вселенной: раскрытие IP-адреса «не считается уязвимостью безопасности». Представляете? Как будто ваши данные — это карманный платок, который можно размахивать, не боясь подцепить простуду.
Что же такое IP-адрес и почему это опасно
IP-адрес — это как адрес дома в интернете, только без забора и замка. Если у хакера есть ваш IP, он может попытаться выяснить ваше местоположение, устроить DDoS-атаку или проникнуть в вашу сеть. Даже если вы прячете свой IP за VPN, уязвимость в Skype может выдать его, словно секретный ингредиент бабушкиного пирога.
А теперь представьте, что кто-то просто отправляет вам сообщение с «волшебной» ссылкой, и ваше местоположение становится известно незнакомцу. Вот почему уязвимость — это не шутки.
Почему Microsoft считает это «не проблемой»
Microsoft владеет Skype с 2011 года и, казалось бы, должна следить за безопасностью, как бабушка — за своим пирогом на кухне. Но в ответ на сообщения Йосси компания заявила, что раскрытие IP-адреса «не соответствует определению уязвимости, требующей немедленного исправления». Почему? Может, они считают, что никто не воспользуется этими данными? Или просто надеются, что пользователи не обратят внимания.
Однако после вмешательства журналистов 404media Microsoft внезапно пообещала выпустить исправление, но «когда-то потом», без точных сроков.
Таблица — кто кому и что может сделать с IP-адресом
| Кто | Что может сделать с IP-адресом пользователя | Насколько это опасно |
|---|---|---|
| Хакер | Определить примерное местоположение, устроить DDoS-атаку, попытаться взломать сеть | Высокая — может привести к утечке личных данных и нарушению приватности |
| Пользователь | Может скрывать IP через VPN, но в Skype это не помогает | Низкая — если знать об уязвимости, можно избегать мобильных версий |
| Microsoft | Может выпустить обновление с исправлением уязвимости | Средняя — пока затягивает с выпуском патча |
Skype — ветеран среди мессенджеров с историей уязвимостей
Skype существует с августа 2003 года. Это примерно как старый кот на районе — опытный и в теме, но уже не столь юркий. На старте он был королем мессенджеров с видеозвонками, но сегодня его популярность упала: из 2,1 млрд зарегистрированных пользователей активны только около 300 млн. Для сравнения, у WhatsApp — более 2 млрд активных пользователей.
За время жизни Skype накопил множество уязвимостей. В 2017 году была критическая брешь, позволяющая запускать вредоносный код удалённо. В 2018 году нашли баг, который позволял повышать системные привилегии, и Microsoft пришлось переписывать код.
И вот теперь новая глава — раскрытие IP-адресов по щелчку пальцев. Неужели в Microsoft забыли, что с большими данными приходит большая ответственность?
Что делать пользователям Skype
Пока Microsoft не выпускает обновление, лучше держаться подальше от мобильных версий Skype для iOS и Android, если не хотите стать «открытой книгой» в сети. Пользователи должны знать, что простая ссылка в чате может стоить им конфиденциальности.
Вот несколько советов:
- Используйте VPN с осторожностью — Skype всё равно может выдать ваш реальный IP.
- Откажитесь от мобильного Skype в пользу настольной версии, где уязвимость пока не обнаружена.
- Будьте осторожны с сообщениями от незнакомцев, особенно с подозрительными ссылками.
- Следите за обновлениями Skype — патч появится рано или поздно.
Что говорит практика и эксперты безопасности
Генеральный директор Tenable, компании по кибербезопасности, Амит Йоран обвинил Microsoft в «явной халатности» за медленное исправление критических уязвимостей. Подобная реакция Microsoft напоминает старый анекдот: «Лечить больно? Тогда не лечим!» Только в нашем случае цена — безопасность миллионов пользователей.
Заключение
Skype сегодня — потенциальный источник проблем для вашей безопасности. Уязвимость, раскрывающая IP-адреса, — это как если бы вы гуляли по парку с табличкой на лбу, где написано ваш адрес. Microsoft не спешит исправлять эту проблему, что вызывает серьёзные вопросы.
Так что, друзья, будьте внимательны! Защитите свой IP, выберите надежные мессенджеры и не позволяйте своим данным гулять по интернету без присмотра. В конце концов, почему бы не дать Microsoft повод наконец починить Skype и вернуть ему статус «короля» мессенджеров?
Автор статьи живо представляет себе, как Йосси с хитрой улыбкой показывал Microsoft их ошибки, а хакеры потирают руки, обнаружив лёгкую добычу.