通过WHOIS服务运行IP地址信息可用于确定用户的位置信息
Microsoft正在继续调查有关Skype中一个漏洞的报告,该报告允许某人确定已登录用户的IP地址。自从上周在Pastebin上发布有关情况的消息以来,有关情况的新闻已经广为流传。Pastebin帖子中包含一个脚本,以帮助在修补的Skype 5.5版本上自动利用此问题。该缺陷使某人可以看到Skype用户的vCard(电子名片的标准文件格式)。在日志中查看将显示Skype用户的IP地址以及该用户计算机上的内部网卡IP地址。
从那里开始,通过WHOIS服务运行IP地址信息可用于确定用户的位置信息。该技术仅在目标人群在线时才有效。
Skype产品安全总监Adrian Asher在一份准备好的声明中说:“我们正在调查一种捕获Skype用户最后一个已知IP地址的新工具的报告。” “这是所有对等软件公司都面临的一个持续的,全行业的问题。我们致力于保护客户的安全,我们正在采取措施来保护他们。
英国CSITech董事总经理Nick Furneaux在博客中表示,这种情况的知识对于需要在需要确保位置安全的情况下使用Skype的用户以及对个人隐私仅感兴趣的用户而言至关重要。
“我已经对其进行了测试,并且可以做到。”他写道。“我能够将一个美国朋友的外部和内部IP提取到他的几英里内。房子,是亚洲的一个伙伴,位于几条街道之内,而我自己的伙伴则位于数英里之内,更令人不安的是,内部IP与面向互联网的地址相结合,为直接调查然后攻击任何个人提供了基础Skype的全球通讯簿。”
去年收购了Skype的微软拒绝进一步讨论该问题。但是,有报道称,研究人员早在2010年末就向Skype报告说,可以确定Skype用户的IP地址。该研究人员发表了一篇文章,详细说明在2011年他们的研究结果。然而,他们的发现去解决。
撰写该论文的研究人员之一史蒂文斯·勒·布朗德(Stevens Le Blond)表示:“将其称为“新工具”,这意味着他们不必如此紧急地做出回应。华尔街日报。“这似乎使他们看起来像被发现了。”