El investigador de seguridad independiente Yossi ha descubierto una vulnerabilidad en la versión móvil de Skype que permite a los atacantes conocer la dirección IP de un usuario. En algunos casos, también puede utilizarse para determinar la ubicación del objetivo.
La víctima ni siquiera tiene que hacer clic en el enlace o interactuar de otro modo con el mensaje del intruso: sólo tiene que abrirlo. Inmediatamente después, los datos confidenciales se transmiten al servidor del hacker. Resulta que esto funciona incluso cuando se utilizan servicios VPN.
Según el investigador, el problema afecta únicamente a las aplicaciones móviles de Skype. No encontró esta vulnerabilidad en las versiones dextop del servicio.
Cuando las personas se comunican a través de un servicio, la aplicación no sólo facilita esta comunicación, sino que también actúa como una especie de amortiguador entre ellas. En muchos casos, el servicio conoce la dirección IP de cada usuario. Pero esta información suele estar oculta. Con Skype, sin embargo, es prácticamente de dominio público. Cualquiera con ciertos conocimientos de ciberseguridad puede obtenerla.
Yossi ya había informado de esta vulnerabilidad a Microsoft. Sin embargo, la empresa no prestó mucha atención a su llamamiento. Sólo después de los informes de los periodistas, la corporación prometió solucionar la vulnerabilidad en la próxima actualización del producto, pero no mencionó la fecha exacta del lanzamiento del parche.
