Skype hesabına sahip olanların profillerine ekledikleri bilgilerden daha fazlasının, kullanıcının servise bağlandığı dahili ve harici IP adreslerinin kötü niyetli kullanıcılar tarafından ele geçirilme ihtimali bulunuyor. SkypeKit adı verilen bir yazılımın kırılmış kopyası yardımıyla kişi ekleme süreci başlatılıyor, hedefteki kullanıcının haberi bile olmadan IP dolaşım bilgileri kötü niyetli kişilere gönderiliyor. SkypeKit’in kırılmış kopyası korsana normalde Skype’ın uygulamayı doğrulaması için kullandığı sertifika doğrulama sürecini fırsatını veriyor, diğer bir deyişle kişi ekleme sürecindeki herhangi bir güvenlik mekanizmasının etrafından dolaşılmış oluyor.
Söz konusu korsan faaliyetini gösteren bir kod kümesi GitHub’a yüklenmiş, ayrıca bunun geliştiricisi yaptığı işi gösteren bir web sitesi de hazırlamış. Bu sayfada hakkında IP erişim detaylarını görmek istediğiniz kullanıcının Skype kullanıcı adını girip yine sayfada bulunan CAPTCHA kodunu yazdıktan kısa bir süre sonra IP adreslerini elde edebilirsiniz. Sayfayı test ettik ve gerçekten vaat edilen IP bilgilerine ulaştık.
Dahili ve harici IP’lerin ortaya çıkarılması kullanıcının bilgisayarının doğrudan hedeflenebileceği anlamına geliyor. Bu durumda kötü niyetli üçüncü kişiler DoS (Denial-of-Service) ataklarına maruz kalabilir.
Skype’tan da konuyla ilgili bir açıklama geldi. Skype kullanıcısının en son bilinen IP adreslerini yakalayan yeni bir araçtan haberdar oldukları, bunun sektörün genelinin sürekli karşı karşıya olduğu bir sorun olduğu dile getirildi. Skype müşterilerinin korunması için gerekli olan tedbirlerin alınmakta olduğu da kaydedildi.