یک آسیبپذیری در برنامه اسکایپ ممکن است باعث فاش شدن آدرس IP شما برای هکرها شود، و این در حالی است که مایکروسافت هنوز آن را رفع نکرده است.
به گزارش تکناک، مایکروسافت در پی رفع یک آسیبپذیری امنیتی دیگر پیش میرود. طبق گزارشی از 404 Media، این بار مشکلی در برنامه موبایلی اسکایپ وجود دارد که اجازه میدهد هکرها با باز کردن یک پیام حاوی لینک بدون نیاز به کلیک کردن، آدرس IP شما را بدست آورند.
این آسیبپذیری که توسط پژوهشگر امنیتی مستقل Yossi کشف شده است، به هکرها امکان میدهد با باز کردن یک پیام حاوی لینک، موقعیت جغرافیایی کلی کاربر را مشاهده کنند. گرچه Yossi در ابتدای این ماه به مایکروسافت درباره این آسیبپذیری اطلاع داده بود، اما گزارش 404 Media نشان میدهد که شرکت فقط پس از تماس این رسانه، قول داده است که یک بسته بهروزرسانی را منتشر خواهد کرد.
برای تایید شدت این آسیبپذیری، به نظر نمیرسد که اهمیتی داشته باشد که لینک شما را به کدام وبسایت منتقل میکند. پژوهشگر با باز کردن لینکها به گوگل (Google.com) و 404media.co، به 404 Media نشان داد که این آسیبپذیری چقدر جدی است.
در هر دو مورد، Yossi توانست آدرس IP خبرنگار را به دست آورد حتی زمانی که از یک شبکه خصوصی مجازی (VPN) استفاده کردند که قرار است موقعیت جغرافیایی شما را پنهان کند.
وقتی Yossi در تاریخ 12 اگوست با مایکروسافت درباره این مشکل تماس گرفت، شرکت به پژوهشگر گفت که “افشای یک آدرس IP به خودی خود یک آسیب پذیری امنیتی تلقی نمی شود” و افزود که این مشکل “با تعریف آسیب پذیری امنیتی مطابقت ندارد” که “نیاز به سرویس فوری داشته باشد. ”
وقتی 404 Media با مایکروسافت تماس گرفت، شرکت گفت که در “یک بهروزرسانی محصول آینده” این آسیبپذیری برطرف خواهد شد، اما زمانبندی حدودی ارائه نکرد. 404 Media راجع به اینکه هکرها چگونه میتوانند از این آسیبپذیری سوءاستفاده کنند، جزئیاتی ارائه نمیدهد، اما بیان می کند که “سوء استفاده از آن بسیار ساده است و شامل تغییر یک پارامتر خاص مرتبط با پیوند است.”
این بدان معناست که هکرها میتوانند تا زمانی که مایکروسافت تصمیم به رفع آن بگیرد، به استفاده از آن آسیبپذیری ادامه دهند و احتمالاً اطلاعات کاربران را بدون آگاهی آنها نمایش دهند.
از زمانی که هکرهای چینی در ماه ژوئیه از طریق Microsoft Azure به ایمیلهای دولتی آمریکا نفوذ کردند، این شرکت با انتقادات روزافزونی درباره رویکرد خود در قبال آسیبپذیریهای امنیتی روبرو شده است. در اوایل این ماه، آمیت یوران، مدیرعامل شرکت امنیت سایبری Tenable، به روشنی رویکردهای “سهلانگارانه و بیتوجه” شرکت را مورد انتقاد قرار داد و به عنوان مثال، تاخیر مایکروسافت در اصلاح مشکلات بحرانی که توسط این شرکت شناسایی شده بود، را ذکر کرد. مایکروسافت تنها پس از انتشار پست یوران مشکل را رفع کرد.