Microsoft sembra ritardare la risoluzione di un’altra vulnerabilità di sicurezza. Questa volta, il problema riguarda l’app mobile di Skype, che potrebbe permettere agli hacker di ottenere l’indirizzo IP di un utente semplicemente aprendo un messaggio contenente un link, senza nemmeno fare clic su di esso, come riportato da 404 Media.
Dettagli sulla vulnerabilità
La vulnerabilità, scoperta dal ricercatore indipendente di sicurezza Yossi, consente agli hacker di vedere la posizione generale di un utente facendogli aprire un messaggio contenente un link. Nonostante Yossi abbia informato Microsoft del problema all’inizio del mese, 404 Media sostiene che la società ha promesso di rilasciare una patch solo dopo essere stata contattata dalla testata giornalistica.
Per dimostrare la gravità della vulnerabilità, non sembra rilevante quale sito web il link indirizzi. Yossi ha dimostrato la falla a 404 Media facendo aprire al suo reporter dei link che portavano a Google.com e 404media.co. In entrambi i casi, Yossi è riuscito a ottenere l’indirizzo IP del reporter, anche quando questi utilizzava una VPN, che dovrebbe nascondere la posizione dell’utente.
Risposta di Microsoft
Quando Yossi ha contattato Microsoft riguardo al problema il 12 agosto, la società ha apparentemente risposto che la “divulgazione di un indirizzo IP non è considerata una vulnerabilità di sicurezza di per sé”, aggiungendo che la falla “non soddisfa la definizione di vulnerabilità di sicurezza” che avrebbe “richiesto un intervento immediato”. Tuttavia, quando 404 Media ha contattato Microsoft, l’azienda ha dichiarato che avrebbe affrontato il problema in “un futuro aggiornamento del prodotto”, senza fornire una stima del tempo necessario.
Implicazioni e critiche
Ciò significa che gli hacker possono continuare a sfruttare questa vulnerabilità fino a quando Microsoft decide di risolverla, esponendo potenzialmente le informazioni degli utenti senza che questi ne siano a conoscenza. Dopo che hacker cinesi hanno violato le email del governo statunitense tramite Microsoft Azure a luglio, la società ha ricevuto crescenti critiche per il suo approccio alle vulnerabilità di sicurezza. Amit Yoran, CEO della società di cybersecurity Tenable, ha recentemente criticato le pratiche “palesamente negligenti” di Microsoft, citando un esempio di ritardo da parte dell’azienda nella risoluzione di un problema critico identificato dalla sua società.