Microsoft's Skype lekt de IP-adressen van gebruikers, een probleem dat de ontwikkelaars al anderhalf jaar negeren. Op Pastebin.com werd de kwetsbaarheid geopenbaard, die inmiddels ook via een eenvoudige webtool is te misbruiken. Onderzoekers uit Frankrijk en New York waarschuwden Skype in november 2010 al voor het beveiligingsprobleem. Het onderzoek werd vorig jaar oktober gepubliceerd en liet zien dat de onderzoekers de locatie van Skype-gebruikers konden achterhalen. Vorige week controleerde één van de onderzoekers of het probleem nog steeds aanwezig was, en dat bleek inderdaad zo te zijn.
In een reactie laat Skype weten dat het meldingen van een nieuwe tool om IP-adressen te achterhalen aan het onderzoeken is. "Door het een nieuwe tool te noemen hoeven ze niet zo snel te reageren", aldus onderzoeker Stevens Le Blond tegenover CIO Journal.
Spookgesprek
De onderzoekers ontdekten dat ze Skype-gebruikers konden bellen, zonder dat er een pop-up venster verscheen of het gesprek in de belgeschiedenis zichtbaar werd. De gebruiker weet daardoor niet dat hij gebeld is en hoeft ook niet op te nemen om geïdentificeerd te worden. Aan de hand van de verstuurde pakketjes tijdens het 'spookgesprek' kunnen de onderzoekers het IP-adres achterhalen.
Bedrijfsspionage
Door het proces elk uur te herhalen, is het mogelijk om de locatie van gebruikers te bepalen. Bedrijven zouden zo kunnen zien waar individuen van een concurrerend bedrijf zich bevinden.
"Je kunt dit opschalen om tienduizenden werknemers te volgen", aldus Keith Ross, die ook aan het onderzoeksrapport mee werkte. Le Blond laat weten dat het lek ook te gebruiken is als eerste stap voor het verder aanvallen van bedrijfscomputers of netwerken.
Praktijk (Update Hackinfo)
Een aangepaste SkypeKit, een "headless" versie van Skype, is nodig om een Ip adres te achterhalen. De dient skype-ip-finder.tk is offline gehaald. Wel staat de achterliggende python-code inmiddels op github: https://github.com/
Gebruikersnaam invullen en je krijgt een IP-adres terug...
Bron: Security.nl