Skype tem falha que expõe seu endereço de IP a hackers

Falha vem na forma de uma mensagem com link – que você nem precisa clicar, só abrir no Skype – e Microsoft ainda não tem solução para ela

By - Rafael Arbulu, 28 agosto 2023 às 15:53

Uma falha bem perigosa foi descoberta recentemente no Skype – o app de mensagens instantâneas e videochamadas da Microsoft, mas que não é o Teams: essencialmente, ela se resume a uma mensagem com um link que não precisa nem ser clicado – basta apenas que você abra a referida mensagem e seu endereço de IP já está automaticamente exposto a hackers.

Pior: quando especialistas em segurança demonstraram a ação em entrevista ao 404Media, foi constatado que a falha “atravessa” métodos conhecidos de defesa, como o uso de VPNs, bem como ignorar qualquer endereço que o link lhe direcione. Em outras palavras, é a visualização da mensagem, não a ação a partir dela, que é o risco.

Imagem mostra captura de endereço de IP por meio de falha de segurança no Skype

Imagem: 404Media/Reprodução

A princípio, saber o IP – em resumo, o “endereço” do seu computador na internet – pode não ser algo chocante, mas um hacker bem “meia boca” consegue, só com essa informação, executar uma série de problemas, desde monitorar e roubar seu histórico de atividade online até ações mais pesadas, como ataques de negação de serviço (DDoS) e redirecionar o tráfego de conteúdo ilegal (cometer crimes na internet mas direcionar a “culpa” à sua máquina) e evitar as autoridades.

Embora tenha ficado para trás se comparado a apps mais recentes (como o Zoom ou o próprio Teams), o Skype ainda é uma das soluções de conversa multimídia mais usadas, e tem uma base de usuários sempre crescente: segundo o Statista, em 2022, era 1,95 bilhão de usuários, saltando para 2,1 bilhões (projetados) em 2023 e, para o ano que vem, a expectativa é de que ele atinja a marca de 2,27 bilhões.

O relato do 404Media não dá muitas especificações de potencial de violação, mas ressalta que a falha parece ser direcionada especificamente à versão mobile do app, onde a maior parte dos usuários do Skype se concentra. Algumas instâncias de falha apareceram no Windows, mas isso foi meio aleatório. No macOS, a vulnerabilidade não pôde ser reproduzida.

Mas a situação não para por aí, pois…

A Microsoft já foi notificada, mas falha do Skype “não é prioridade”

O especialista responsável pela descoberta da falha, o pesquisador independente conhecido como “Yossi”, afirma ter notificado a Microsoft – que adquiriu o Skype em maio de 2011 – no dia 12 de agosto. A empresa respondeu, dizendo que “exposição de endereço de IP” não é uma falha “imediatamente aproveitável” e, portanto, não é uma prioridade. A companhia não demonstrou intenção de consertar o problema de segurança tão cedo.

Foi então que Yossi procurou a mídia para executar o teste: em todas as interações com a equipe do 404Media, o pesquisador conseguiu levantar o endereço de IP usando apenas uma mensagem como método de entrega – isso, em questão de minutos.

A equipe do site, então, procurou a Microsoft, que só então afirmou o plano de corrigir a falha “na próxima atualização” do Skype. Entretanto, a empresa não informou nenhuma previsão de quando isso deve acontecer.