Investigadores descobriram problema que periga a privacidade dos utilizadores do Skype, ao disponibilizar a sua localização e identidade.
Uma equipa de investigadores descobriu uma falha no Skype, o popular serviço de voz sobre IP que permite aos utilizadores fazerem chamadas de vídeo de telefone e chat na Internet pelo computador. A vulnerabilidade pode expor a sua localização, a identidade e download de conteúdos. A Microsoft, que detém a Skype, diz estar a trabalhar numa solução.
O problema foi descoberto no início do ano por um grupo de investigadores do Instituto Politécnico da Universidade de Nova Iorque (NYU-Poly), MPI-SWS na Alemanha e INRIA na França, e incluiu Keith Ross (na foto), Stevens Le Blond, Chao Zhang, Arnaud Legout, e Walid Dabbous. A equipa apresentou a investigação em Berlim, recentemente, na Internet Measurement Conference 2011, num estudo intitulado “I know where you are and what you are sharing“.
Os investigadores descobriram várias propriedades do Skype que podem rastrear a localização dos utilizadores, não só ao longo do tempo, mas também pela sua actividade de partilha de ficheiros peer-to-peer (P2P), de acordo com um resumo dos resultados no site da NYU-Poly. No início deste ano, um investigador alemão encontrou uma falha de “cross-site scripting” no Skype que permitia a alguém alterar uma password de conta sem o consentimento do utilizador.
“Mesmo quando um utilizador bloqueia quem lhe telefona ou se liga por detrás de uma Network Address Translation (NAT) – um tipo comum de firewall – não impede o risco para a sua privacidade”, diz a NYU-Poly.
A equipa de investigadores acompanhou as contas do Skype de cerca de 20 voluntários, bem como de 10 mil utilizadores aleatórios ao longo de um período de duas semanas e descobriu que quem telefona usando sistemas VoIP pode obter o endereço IP de outro utilizador quando estabelece uma chamada com essa pessoa. O chamador pode então usar serviços comerciais de geo-referenciação de IPs para determinar a localização do outro utilizador e do seu Internet Service Provider (ISP).
O utilizador também pode iniciar uma chamada Skype, bloquear alguns pacotes e rapidamente terminar a chamada para obter o endereço IP de uma pessoa inocente, sem a alertar com o toque de chamada ou janelas “pop-up”. Os utilizadores não precisam de estar numa lista de contactos, e pode ser feito mesmo quando o utilizador explicitamente configura o Skype para bloquear chamadas de não-contatos.
A investigação também revelou que “marketers” podem facilmente obter informações como nome, idade, endereço, profissão e entidade patronal a partir de sites de media social como o Facebook e o LinkedIn, a fim de construírem facilmente bases de dados de perfis individuais.
“Sentimos que as implicações são muito graves”, disse Ross. “Por exemplo, um hacker universitário, ou alguém com capacidades básicas de programação e de hacking, pode acompanhar, por exemplo, todos os congressistas dos Estados Unidos ou os empregados de uma empresa. O ataque pode ser usado por chantagistas, “stalkers” ou jornalistas à procura de uma história picante sobre um político”.
A Skype e a Microsoft foram informadas sobre as descobertas dos investigadores e o The New York Times revela que a Skype está ciente do problema.
“Nós valorizamos a privacidade dos nossos utilizadores e estamos comprometidos em tornar os nossos produtos o mais seguros possível”, disse em comunicado o responsável da segurança da informação da Skype, Adrian Asher. “Tal como com o típico software de comunicações da Internet, os utilizadores do Skype que estão ligados podem ser capazes de determinar o endereço IP de outro utilizador. Através de investigação e desenvolvimento, vamos continuar a fazer avanços nessa área e melhorias no nosso software”.
Ross disse que até que o problema estar resolvido, recomenda que os titulares de conta Skype não deixem a sua aplicação em execução e apenas a fazê-lo quando para uso. Ele também recomenda que os nomes de utilizador não estejam estreitamente relacionados com o nome real de uma pessoa.