Блогеры: уязвимость в Skype является основой архитектуры P2P

Блогеры: уязвимость в Skype является основой архитектуры P2P

Пользователи популярного программного обеспечения Skype рискуют выдать собственное географическое местоположение, так как популярный сервис телефонии позволяет установить IP-адрес конкретного пользователя. По словам специалистов из Политехнического института при Нью-Йоркском Университете эта уязвимость с точки зрения безопасности является довольно серьезной брешью в безопасности Skype.

Для проверки своего наблюдения группа специалистов инициировала около 10 000 видеозвонков случайным пользователям Skype, после чего было установлено, что данные о пользователе можно установить даже в том случае, если тот не отвечает на вызов и установления связи не происходит. Специалисты говорят, что среди передаваемых данных самую большую угрозу представляет собой IP-адрес пользователя. Выяснив IP-адрес конкретного пользователя, хакер сможет вычислить, где именно находится этот пользователь.

Пользователей Skype чрезвычайно заинтересовало открытие данной уязвимости. Блогеры на сайте Хабрахабр не также не оставили эту новость без обсуждения. По словам юзера kekekeks исправить уязвимость можно следующим образом: "сделать так, что IP абонента передавался звонящему только после согласия того на принятие звонка". Пользователь dmomen предложил "соединять пользователей не напрямую, а через сервер. Пользователь не отвечает — сервер не отдает его IP. Решение типа "большой брат", но если логи уже итак храняться на серверах, то это не большой удар", на что получил ответ от Ackrite: "Сервер и P2P как-то плохо вместе вяжутся". А блогер noonesshadow предложил свое решение: "P2P не обязательно означает прямой канал между собеседниками. Есть суперноды, и иногда голосовой и видео трафик передается не напрямую а через посредников. Вполне можно внести изменения в протокол, которые будут устанавливать соединение через суперноды, а при ответе уже пытаться сделать 1 на 1. Вопрос, я так понимаю, в основном в увеличении нагрузки на суперноды, которые по сути своей обычные пользователи с хорошим инетом, и могут выключать скайп если нагрузка возрастет слишком сильно".

Некоторые участники обсуждения вспомнили о недавней сделке по приобретению Skype компанией Microsoft, но связи между этим событием и обнаруженной уязвимостью не увидели. "Данная уязвимость существует "с момента сотворения" протокола, собственно это такая бага трудно отличимая от фичи за счёт которой он и работает" - считает IRainman, а пользователь wlan иронично подмечает: "В 2011 году хакеры внезапно узнали, что при P2P можно узнать ip?"

ITSec.ru
Алексей Петров