Skype’ta bulunan bir açığın, kullanıcılara ait IP bilgisini saptamakta kullanılabildiği ortaya çıktı. Pastebin üzerinde paylaşılan bir kod [1], Skype 5.5’in güvenlik yamalı bir versiyonunda çalışıyor ve online olan Skype kullanıcılarına doğru bir arama yapmaksızın onların IP bilgilerini elde etmenizi sağlıyor. Skype yöneticileri bu açığın genel bir P2P probleminden kaynaklandığını açıklamaktalar.
Söz konusu yazılım sayesinde, Skype kullanan birisinin son olarak giriş yaptığı bilgisayara ait IP bilgisi elde edilebiliyor. Güvenlik uzmanları, ilgili yazılımı test ettiklerini ve karşıdaki kullanıcı proxy ayarlarını değiştirmemişse veya VPN (özel sanal network) kullanmıyorsa bu yazılım sayesinde IP adresi saptamanın oldukça kolay olduğunu açıklamaktalar. Konu Skype’ın resmi kullanıcı destek blogunda da bir güvenlik açığı olarak yer alıyor ve Skype yöneticileri söz konusu zafiyeti gidermek için çalışmalar yürüttüklerini açıklamaktalar.
Böylesi bir yazılımla yapılabilecekler aslında oldukça kısıtlı. Birinin IP bilgisini ele geçirmek, o kişiye yönelik hedefli pshihing saldırıları veya spam göndermenizi kolaylaştıran bir unsur. Ancak yalnızca bu açık sayesinde bir trojan göndermek veya bilgisayarı botnete dönüştürmek söz konusu değil. Yine de Skype’ın Microsoft tarafından tam 8,5 milyar Dolar karşılığında satın alınmış olması ve Microsoft’un kurumsal iletişim geleceğinde önemli bir yer tutacak olması, söz konusu açığın bir anca giderilmesi gerektiğini ortaya koymakta.
IP tespitine olanak tanıyan söz konusu açığın ilk olarak hafta sonunda raporlandığı ve Skype’taki güvenlik ekiplerinin bu açığı gidermek için uğraş verdikleri açıklanmakta. Konuyla ilgili olarak basına demeç veren Skype ürün güvenliği yöneticisi Adrian Asher, bu açığın aslında P2P yazılım firmalarının tamamında etkili olan genel bir sorun olduğunu ancak müşterilerinin güvenliklerini korumak için ellerinden geleni yaptıklarını açıklamakta.
[1]- Skype user IP-address disclosure

Kaynak : 