Nell’era pre-pandemica, Skype, il software di messaggistica istantanea e VoIP di proprietà del colosso di Redmond era la piattaforma di riferimento per effettuare chiamate e videochiamate utilizzando Internet invece delle tradizionali linee telefoniche, vantando milioni di utenti giornalieri. Che ancora oggi sembra non aver perso.
Tuttavia, una vulnerabilità di sicurezza recentemente scoperta getta un’ombra sulla sua reputazione e potenzialmente potrebbe compromettere la privacy degli utenti. Inoltre, il bug solleva diversi interrogativi sulla risposta iniziale di Microsoft che non si è affatto dimostrata solerte rispetto alla necessità di un’azione rapida per salvaguardare gli utenti.
La vulnerabilità dell'app mobile di Skype fa trapelare gli IP degli utenti
L’exploit, scoperto dal ricercatore indipendente nel settore della sicurezza Yossi, espone un difetto critico nell'app mobile di Skype. Attraverso un collegamento apparentemente innocuo incorporato in un messaggio, gli hacker possono accedere all'indirizzo IP del bersaglio, e conseguentemente individuare la posizione geografica con una buona approssimazione, il che rappresenta un grave rischio soprattutto per attivisti, dissidenti e giornalisti.
L'aspetto più inquietante è che questa intrusione avviene anche se il destinatario si limita ad aprire il messaggio, senza che sia necessaria alcuna interazione con il link. In particolare, questa vulnerabilità colpisce esclusivamente le app di Skype per Android e iOS, risparmiando le applicazioni desktop. Per di più, il problema si presenta anche ricorrendo ad una VPN che in teoria dovrebbe mascherare il vero indirizzo IP del dispositivo.
Microsoft ha riconosciuto la gravità della situazione solo in un secondo momento
La reazione iniziale di Microsoft è stata altrettanto sconcertante. Quando Yossi ha segnalato per la prima volta il bug (il 12 agosto), il colosso della tecnologia ha minimizzato la gravità della situazione, sostenendo che l’esposizione dell’indirizzo IP non è di per sé una vulnerabilità della sicurezza che merita attenzione immediata.
Tuttavia, la gravità della situazione è diventata evidente quando la media company 404 Media ha fatto luce sulle implicazioni: violazioni della privacy, potenziali abusi nelle relazioni personali e la porta aperta ad attacchi informatici invasivi. Solo allora Microsoft ha ceduto, impegnandosi a correggere la vulnerabilità con una patch.
Al momento in cui scriviamo, il problema deve ancora essere risolto e sembra che possa ancora essere replicato. E data la tiepida risposta iniziale di Microsoft, l'incertezza circonda la sua prossima mossa.