一份新的报告称,微软的 Skype 聊天移动应用程序存在一个严重漏洞,黑客可以借此检测用户的 IP 地址。据报道,只需通过 Skype 的短信功能发送一个链接,就能启用该漏洞,而且无需点击链接就能泄露 IP 地址。
据 404Media.co 报道,这个新漏洞是由一位网名为"Yossi"的独立安全研究员首先发现的。文章描述了这一问题的工作原理:
首先,Yossi 通过 Skype 文字聊天工具给我发了一个 google.com 的链接。链接指向的是真正的谷歌网站,而不是一个冒牌货。然后,我在 iPad 上打开 Skype,查看了聊天信息。我甚至没有点击链接。但很快,尤西就把我的 IP 地址粘贴到了聊天内容中。这个IP地址是正确的。
文章还补充说,这个问题只影响 Skype 的移动应用程序,在桌面 Skype 上似乎不起作用。出于安全考虑,该文章没有透露黑客方面如何利用这个问题的细节,但文章称,这个漏洞"很容易被利用,只需更改与链接相关的某个参数即可"。
Yossi 将有关该漏洞的信息发送给了微软。该公司最初给 Yossi 的回复是,Skype 中暴露的 IP 地址"不符合安全漏洞的服务定义,不需要立即进行服务"。
不过,当404media.com要求微软发表评论时,该公司确实表示,虽然仅从IP地址暴露的角度来看,Skype的这个问题并不是一个直接的安全问题,但"我们将在未来的产品更新中解决这个问题,作为深度防御的改进,以帮助保护客户的安全"。截至本文撰写之时,微软尚未修复这一问题。