Исследователи говорят, что Skype может разоблачить ваше местоположение

Краткое содержание:

Исследователи обнаружили, что Skype разоблачает IP -адреса пользователей и, возможно, их географические места более года более года. Несмотря на уведомление об уязвимости, Skype не смог решить проблему, оставив информацию о ее пользователях. Это вызывает обеспокоенность по поводу конфиденциальности и безопасности использования Skype для голосовой телефонии.

Ключевые моменты:

  1. Skype известно об уязвимости конфиденциальности в течение более года, что позволяет разоблачить IP -адреса пользователей.
  2. Исследователи предупредили Skype об уязвимости в 2010 году, но компания не решила проблему.
  3. IP -адреса пользователей Skype и географические локации могут быть идентифицированы с помощью техники маскированного вызова.
  4. Уязвимость позволяет отслеживать движения пользователей и местоположения на уровне города.
  5. Даже исправленная версия Skype может быть использована для получения IP -адресов с помощью журнала отладки.
  6. Skype, возможно, не исправил проблему из -за его глубокой интеграции в код, требуя значительной реструктуризации.

Ключевые вопросы:

  1. В: Как исследователи обнаружили уязвимость в скайпе?

    2. Ответ: Исследователи из Политехнического института Нью -Йоркского университета обнаружили уязвимость, проведя эксперименты и раскрывая информацию в Skype в 2010 году.

  2. В: Скайп исправил уязвимость?

    3. A: Нет, Skype не исправил уязвимость, даже после того, как он уведомлен об этом более года назад. Недавнее воздействие уязвимости на Pastebin указывает на то, что проблема сохраняется.

  3. В: Как кто -то может отслеживать местоположение пользователя Skype?

    4. A: Сделав маскированный звонок пользователю Skype, можно получить их IP-адрес и определить местоположение на уровне города. Кроме того, для получения IP -адресов может быть использована исправленная версия Skype путем включения журнала отладки.

  4. В: Почему Skype не расставил приоритет исправлению уязвимости?

    5. A: По словам одного из исследователей, уязвимость может быть глубоко встроена в код Skype, требующий существенной реструктуризации для разрешения. Ответ Skype на раскрытие исследователей также предположила, что это более широкая отраслевая проблема, с которой сталкиваются компании-разработчики программного обеспечения.

  5. В: Как долго были исследователи, которые могли отслеживать местоположения пользователей Skype?

    6. A: Исследователи отслеживали местоположение на уровне города 10 000 пользователей Skype в течение двух недель, повторяя звонок в маске каждый час, чтобы получить их IP-адреса.

  6. В: Кому владеет Skype?

    7. О: Skype в настоящее время принадлежит Microsoft.

  7. Q: Каковы потенциальные риски, связанные с воздействием IP -адресов?

    8. О: Разложение IP -адресов может привести к вторжениям в конфиденциальность, что позволяет людям отслеживать местоположение пользователя, отслеживать их деятельность в Интернете и потенциально запустить целевые атаки.

  8. В: Личные учетные записи пользователей Skype в риске из -за этой уязвимости?

    9. A: Хотя уязвимость раскрывает IP -адреса пользователей, важно отметить, что эксплойт требует определенного уровня настойчивости и технических знаний. Тем не менее, пользователи все еще должны проявлять осторожность и быть в курсе потенциальных рисков, связанных с использованием Skype.

  9. В: Могут ли пользователи защитить себя от этой уязвимости?

    10. A: На данный момент нет известных исправлений для уязвимости в Skype. Пользователи могут рассмотреть возможность использования VPN (виртуальная частная сеть) или другие инструменты конфиденциальности, чтобы маскировать свои IP -адреса и повысить конфиденциальность в Интернете.

  10. В: Что должны делать пользователи Skype, если они обеспокоены своей конфиденциальностью?

    11. О: Пользователи Skype, которые обеспокоены своей конфиденциальностью, должны взять на себя потенциальные риски, связанные с уязвимостью по сравнению с удобством и функциями, предлагаемыми услугами. Также рекомендуется оставаться в курсе любых обновлений или заявлений Skype о уязвимости.

  11. Q: Существуют ли какие-либо альтернативные услуги голоса-переверка, которые более безопасны?

    12. A: На рынке доступно несколько альтернативных услуг, которые приоритет безопасности и конфиденциальности. Пользователям рекомендуется исследовать и сравнивать различные услуги голосового оборота, чтобы найти те, которые соответствуют их потребностям в конфиденциальности.

  12. В: Может ли эта уязвимость быть использована для злонамеренных целей?

    13. О: Да, эта уязвимость может потенциально использовать злонамеренные люди для различных целей, включая отслеживание и мониторинг пользователей Skype, запуск целевых атак или даже проводящего наблюдения.

  13. В: Skype ответил на недавнее раскрытие уязвимости?

    14. О: Ответ Skype на недавнее раскрытие уязвимости отражало его предыдущие заявления, указывая на то, что они знают об этой проблеме и рассматривают ее как общеотраслевую проблему.

  14. В: Каковы последствия этой уязвимости для репутации Skype?

    15. A: Обнаружение этой уязвимости и неспособность Skype по его решению может негативно повлиять на репутацию компании с точки зрения доверия пользователей и уверенности. Пользователи могут поставить под сомнение общие меры безопасности и конфиденциальности, реализованные Skype.

  15. В: Существуют ли какие -либо юридические последствия для Skype по поводу этой уязвимости?

    16. A: Юридические последствия для Skype будут зависеть от различных факторов, включая его ответственность за обеспечение конфиденциальности пользователей и правил в разных юрисдикциях. Вполне возможно, что отдельные лица или организации, затронутые уязвимостью.

Исследователи говорят, что Skype может разоблачить ваше местоположение

События прошлой недели напомнили мне тему конфиденциальности I’Был намеревался вернуться: эта голосовая служба телефонии Скайп Постоянно разоблачивает ваш интернет -адрес во всем мире, и что теперь есть многочисленные бесплатные и коммерческие инструменты, которые можно использовать для связи имен учетных записей Skype с числовыми интернет -адресами.

Исследователи: Skype игнорировал уязвимость отслеживания местоположения в течение более года

Skype знал более года назад о уязвимости конфиденциальности, которая позволила бы кому -то определить IP -адрес и, возможно, географическое местоположение пользователя, но оставил его незавершенным, по словам исследователей, которые говорят, что они уведомили компанию в 2010 году.

Сохранить историю

Сохранить историю

Скайп узнал более года назад о уязвимости конфиденциальности, которая позволила бы кому -то определить IP -адрес и, возможно, географическое местоположение пользователя, но оставил его незавершенным, по словам исследователей, которые говорят, что они уведомили компанию в 2010 году.

Стивенс Ле Блонд, бывший исследователь политехнического института Инрии во Франции, который сейчас работает в Институте программных систем Макса Планка, сообщил CIO Journal То, что он и коллеги -исследователи из Политехнического института Нью -Йоркского университета раскрыли уязвимость для Skype в ноябре 2010 года и опубликовал информацию в октябре 2011 года. Поэтому они были удивлены, обнаружив, что уязвимость все еще была незаконной на прошлой неделе после того, как кто -то разместил сценарий в Интернете, показывающий, что Skype эксплуатируется, чтобы раскрыть локальные и удаленные IP -адреса для пользователей.

Когда на вопрос об раскрытии исследователей Skype, который принадлежит Microsoft, повторяется только то, что Skype сообщил журналистам на прошлой неделе, когда был опубликован другой эксплойт, также разоблачающий IP -адреса. Адриан Ашер, директор по обеспечению безопасности продукта для Skype, сказал, что Skype «исследуя сообщения о новом инструменте, который фиксирует пользователя Skype’S последний известный IP -адрес. Это постоянная, отраслевая проблема, с которой сталкиваются все компании-программные компании, занимающиеся одноранговым программным обеспечением.”

“Называя это ‘новый инструмент’ это означает, что они надевают’Т должен срочно отвечать,” Ле Блондин сказал Журнал. “Кажется, что они только что узнали.”

Исследователи обнаружили, что они смогли раскрыть IP -адрес пользователей Skype и их города, проведя маскированный звонок пользователю. Вызов может быть сделан таким образом, чтобы предотвратить появление уведомления на экране пользователя и предотвратить появление вызова в истории звонков пользователя.

После того, как вызов был сделан, исследователи получили IP -адрес из информации, которую Skype автоматически отправляет на вызывающего абонента. Повторяя звонок каждый час, они могут на самом деле отобразить движение пользователя, чтобы определить, перемещаются ли они между городами. Таким образом, они тайно отслеживали местоположение на уровне города 10 000 пользователей Skype на две недели.

Они решили проверить, была ли уязвимость исправлена ​​после того, как кто -то выпустил информацию анонимно на Pastebin на прошлой неделе, которая показала, как использовать исправленную версию Skype 5.5 Чтобы получить IP -адрес другим способом, который не требует маскированного вызова.

Техника включает в себя включение ведения журнала отладки, выполнение поиска на активных пользователей, как если бы добавить их в качестве контакта, а затем просмотр их VCARD или контактную информационную карту, которая будет генерировать IP -адрес в журналах. Используя инструменты исследования IP -адреса, кто -то может затем отслеживать местоположение IP -адреса в городе.

Кит Росс, один из исследователей, который уведомил Skype в 2010 году, сказал CIO Journal что Skype, вероятно, не исправил проблему, потому что это может быть “глубоко встроенный в код” и требуется “тяжелая реструктуризация” Разрешить.

Исследователи говорят, что Skype может разоблачить ваше местоположение

Эми Дикерсон для New York Times

Помните, когда шутник мог сделать себя общей неприятностью, позвонив в домашний телефон и быстро повесив трубку?

Эквивалент шутки Skype, популярного сервиса голосового заливного протокола, может быть гораздо больше, чем неприятность. Если вы вошли в Skype, шутник – или вор или шпион – можете эффективно отслеживать, где вы находитесь, и в некоторых обстоятельствах, что вы делаете, и даже то, что вы загружаете, согласно эксперименту, возглавляемом Кейтом Россом, профессором информатики в Политехническом институте Нью -Йоркского университета в Бруклине в Бруклине, в Бруклин.

Мистер. Росс вместе со своими сотрудниками во Французском институте компьютерных исследований, INRIA, последовал за 10 000 случайно выбранных пользователей Skype в течение 16 дней.

Если пользователь’S Skype -приложение было запущено, исследователи могли незаметно позвонить и, в процессе размещения вызова, привлечь пользователя’s Адрес интернет -протокола. Каждый час исследователи регистрировали I.п. адрес для каждого пользователя. Этот адрес, в свою очередь, может быть использован для определения пользователя’S Географическое местоположение – в некоторых случаях, вплоть до почтового индекса.

Затем исследователи разветвляли большую выборку для горстки добровольцев, которые согласились позволить себе отслеживать. В одном примере, один пользователь Skype был замечен в входе в Skype из сети университета Нью -Йорка, а затем посещение Чикаго, возвращение в университет, а затем в его дом во Франции.

Те, чьи ручки Skype идентичны или похожи на их настоящие имена, гораздо более заметны. Исследователи потенциально могут найти о них гораздо больше в различных социальных сетях.

“Если бы мы следили за подвижностью друзей в Facebook этого пользователя, мы, скорее всего, определили бы, кого он посещает и когда,” Исследователи сказали.

Недостаточно отказаться от звонка по скайпу от незнакомца. В одноранговой сети, достаточно просто установить связь между двумя сверстниками достаточно, чтобы раскрыть I.п. адрес. Что я.п. Адрес также может быть использован для поиска того, какие большие файлы были загружены на это устройство с использованием BitTorrent, одноранговой системы, которая чаще всего используется для обмена пиратскими фильмами и музыкой.

Skype, который принадлежит Microsoft, сказал, что знает о проблеме. “Мы ценим конфиденциальность наших пользователей и стремимся сделать наши продукты максимально безопасными,” Адриан Ашер, компания’Главный сотрудник информационной безопасности S говорится в заявлении. “Как и в случае с типичным программным обеспечением для интернет -связи, пользователи Skype, которые подключены’S IP -адрес. Благодаря исследованиям и разработкам мы будем продолжать добиваться успехов в этой области и улучшения нашего программного обеспечения.”

Мистер. Росс, профессор информатики, предложил следующие меры предосторожности для заядлых пользователей Skype. Это’S, вероятно, лучше не оставлять приложение Skype работать постоянно, когда вы планируете сделать или получить звонок. Пользователи также немного более защищены, если они выбирают ручку Skype, которая отличается от их настоящего имени.

Конфиденциальность 101: Skype утечет ваше местоположение

Кребс о безопасности

События прошлой недели напомнили мне тему конфиденциальности I’Был намеревался вернуться: эта голосовая служба телефонии Скайп Постоянно разоблачивает ваш интернет -адрес во всем мире, и что теперь есть многочисленные бесплатные и коммерческие инструменты, которые можно использовать для связи имен учетных записей Skype с числовыми интернет -адресами.

Служба Skype Resolver в действии

Служба Skype Resolver в действии.

Тот факт, что Skype предает своих пользователей’ Информация о местоположении в Интернете вряд ли новость. Например, Журнал “Уолл Стрит И другие новостные агентства предупредили в прошлом году об исследованиях, показывающих, что можно было уговорить Skype, чтобы раскрыть IP -адреса отдельных пользователей Skype. Но я считаю, что большинство пользователей Skype по -прежнему не имеют ни малейшего понятия об этой основной слабости конфиденциальности.

Что’S изменился, что за последний год появился ряд услуг, чтобы помочь Snoops и Ne’Er-Do-Wells используют эту уязвимость, чтобы отслеживать и преследовать других онлайн. Например, онлайн -поиск “Skype Resolver” Возвращает десятки результатов, которые указывают на услуги (с надежностью переменной), которые позволяют пользователям искать интернет -адрес любого пользователя Skype, просто предоставив цель’S Имя учетной записи Skype.

В приведенном выше снимке экрана мы видим одну такую ​​службу, которую используется для отображения IP -адреса, который совсем недавно использовался в учетной записи Skype “mailen_support” (Эта конкретная учетная запись принадлежит к контакту технической поддержки для Mailien, российской аптечной программы спам -аффилированной программы с тем же именем).

Служба Skype IP Resolver в действии

Служба Resolver Skype IP в действии.

Как правило, эти резолюры Skype предлагаются в тандеме с “буттер” или “стресс” Услуги, онлайн-инструменты для атаки для найма, чем можно арендовать для запуска атак на отказ от обслуживания (одна из этих услуг использовалась в атаке на этом веб-сайте, и на Ars Technica на прошлой неделе) на прошлой неделе)). Идея заключается в том, что если вы хотите сбить кого -то в автономном режиме, но вы надеваете’Не знаю их интернет -адреса, вы можете просто искать в Skype, чтобы увидеть, есть ли у них учетная запись, а затем использовать резоляторы, чтобы найти их IP. Резолюры работают независимо от любых настройки конфиденциальности, которые целевой пользователь мог выбрать в программе Skype’S Конфигурация панели.

Многие из этих предложений Servelver Services “черный список,” Что за плату позволит пользователям предотвратить поиск других пользователей IP -адреса, прикрепленного к конкретной учетной записи Skype, сказал Брэндон Левен, независимый исследователь безопасности.

“Это’S в основном схема защиты,” Левен сказал.

Левен сказал, что резолюры Skype работают, используя модифицированный клиент Skype (5.5 или 5.9) Чтобы создать журнал отладки. Этот клиент размещен на веб -сервере.

“Простой сценарий используется для построения ссылки, содержащей имя пользователя Skype, которое передается модифицированному клиенту,” Левен сказал. “Этот клиент просто пытается добавить запрошенное имя пользователя в список контактов и анализировать целевую учетную запись’с ‘информационная карта’ (если доступно). Этот процесс записывает IP -адрес запрошенного имени пользователя в журнале отладки, в явной области.”

Помимо разоблачения одного’S в Интернете подключение к раздражающим и разрушительным атакам эта уязвимость может позволить сталкерам или корпоративным соперникам отслеживать движение отдельных лиц и руководителей, когда они путешествуют между городами и штатами.

Skype был куплен Microsoft В 2011 году, но Microsoft, по -видимому, мало что сделала для решения этой слабости конфиденциальности, несмотря на то, что внимание привлекло внимание и распространение сайтов, предлагающих инструменты для его использования. “Мы исследуем отчеты о инструментах, которые захватывают пользователя Skype’S последний известный IP -адрес,” Представитель Skype сказал в заявлении по электронной почте. “Это постоянная, отраслевая проблема, с которой сталкиваются все компании-программные компании, занимающиеся одноранговым программным обеспечением.”

Самый простой способ решения этих проблем с конфиденциальностью – это передавать все сигнальные трафики Skype (E.г., рукопожатия) через прокси, сказал Стивенс Ле Блонд, исследователь Макс Планк Институт программных систем в Германии.

“Это помешало бы третьим сторонам с низким ресурсом, таких как резолюры, отслеживать пользователей Skype,” Le Blond написал в электронном письме Krebsonsecurity. “Однако, несмотря на крупное обновление инфраструктуры в прошлом году, Skype по -прежнему уязвим для отслеживания местоположения. Можно только предположить, почему это так. Одна возможность состоит в том, что передача всего сигнального трафика будет нарушать совместимость с более ранними версиями Skype.

Защита от более мощных злоумышленников, способных подслушивать интернет -ссылки, гораздо сложнее, потому что это требует передачи сигналов и зашифрованного трафика полезной нагрузки, сказал Le Blond, сказал.

“Одна из проблем состоит в том, что максимальное время в обратном обращении (RTT), которое могут переносить пользователи VoIP, составляет около 300 миллисекунд (мс), тогда как задержка распространения в оптическом кабеле, охватывающей окружность планеты, составляет приблизительно 200 мс. Это означает, что когда пользователь в Германии вызывает еще одну в Австралии, прокси -сервис должен нести менее 100 мс. Моя команда и я в настоящее время работаем над этой проблемой.”

Обновление, 22 марта, 9:45 а.м. ET: Добавлены цитаты из Microsoft, Levene и Le Blond.

Эта запись была опубликована в четверг, 21 марта 2013 года, 19:30

Могут ли люди отслеживать звонки по скайпу?

Skype резко изменило традиционное телефонное взаимодействие

Хотя конфиденциальность важна для использования в Skype, корпоративная политика компании может иногда диктовать, что администрация знает, кто говорит с кем и с какой информацией отправляется. В то время как Skype Manager позволяет администраторам подробно рассматривать корпоративные операции по скайпу, сотрудники, использующие свои собственные учетные записи Skype, все еще могут избежать отслеживания. Однако есть и другие методы отслеживания Skype, которые все еще могут дать полезные результаты.

Менеджер Skype

  1. Skype Manager-это веб-система управления для корпоративного развертывания Skype. С Skype Manager администратор создает учетные записи для сотрудников, а не для своих личных учетных записей Skype. Эти счета контролируются Skype Manager, который предоставляет администратору подробные отчеты о дате, времени, продолжительности и назначении звонков и текстов, а также сведения о покупке и загрузке. Администраторы также могут управлять тем, что есть в Skype Premium, которые есть у учетных записей пользователей, и сколько разрешено каждый пользователь Credit Skype. Менеджер Skype также может использоваться для мониторинга личных учетных записей, если это необходимо. Администраторы должны получить явное согласие со стороны счета для мониторинга своей деятельности, в противном случае администраторы могут контролировать кредитный баланс Skype только на личных счетах. Согласие также может быть снято в любое время.

Отслеживание IP -адреса

  1. Активность Skype также можно контролировать путем отслеживания подключения IP -адресов. Когда Skype подключает вызов, подключающий компьютер должен идентифицировать себя с помощью своего IP -адреса. В статье 2011 года, опубликованной совместно Нью -Йоркским университетом, Французским институтом исследований в области компьютерных наук и контроля и Института программных систем Макса Планка, исследователи обнаружили, что, сделав Skype, вы можете определить IP получателя звонка. Этот IP -адрес может быть связан с географическим расположением его хоста с минимальными усилиями через такие сайты, как мой IP -адрес, наряду с другой информацией, включая тип подключения, имя хоста и интернет -поставщик услуг.

Отслеживание социальных сетей

  1. Социальные сети также могут сыграть важную роль в закреплении, с которыми ваши сотрудники общаются. Skype позволяет пользователям обмениваться полной контактной информацией друг с другом, что облегчает идентификацию для тех, с кем были переданы детали. Если пользователь Skype использует свое настоящее имя в качестве имени пользователя, его также можно отследить, используя это имя и геолокацию, полученную путем отслеживания его IP, чтобы посмотреть его на сайтах социальных сетей, таких как Facebook. Если у вашего сотрудника есть этот человек в своих друзьях на Facebook или на другом сетевом сайте, идентификация еще проще, поскольку вам нужно только проверить имя Skype со списком своих друзей.

Причины отслеживать деятельность

  1. Отслеживание деятельности вашего сотрудника Skype может показаться инвазивным, но в некоторых случаях необходимое зло. Несанкционированная или не связанная с работой активность Skype может быть отвлекающим фактором, что может снизить производительность. Конфиденциальная информация также может быть просочилась через Skype в видео, голосовых и текстовых чатах, а также с помощью передачи файлов. Передача файлов также подвергается риску введения вредоносного ПО и других вирусов в сеть компании.

Проблемы конфиденциальности

  1. Мониторинг деятельности вашей компании в Skype вызывает законные опасения в отношении конфиденциальности сотрудников и может создать среду подразумеваемого недостатка. Сотрудники всегда должны быть четко осведомлены о политике мониторинга вашей компании, в том числе о том, какие виды данных контролируются, какие методы используются для сбора этих данных и какие действия будут предприняты, если они поймают на нарушение соответствующей политики использования вашей компании. Согласие должно быть получено в письменном виде, чтобы возместить Компанию против обвинений в правонарушении, если работник считает, что их конфиденциальность была нарушена. Все полисы должны быть проверены юридическим департаментом вашей компании, чтобы убедиться, что они соответствуют местным, государственным и федеральным законам о конфиденциальности.