A Microsoft, dona do popular serviço de VoIP (Voz sobre IP), diz que já está trabalhando para corrigi-la.
O problema foi identificado por uma equipe espalhada por Estados Unidos, França e Alemanha. Keith Ross, Stevens Le Blond, Chao Zhang, Arnaud Legout e Walid Dabbous detalharam a falha no começo deste ano, em estudo intitulado “Eu sei onde você está e o que compartilha”.
“Mesmo se o internauta bloquear a ligação com uma Network Adress Translate (NAT) – uma função comum a firewalls – o risco não será eliminado”, afirma o resumo da pesquisa, no site da Universidade de Nova York.
As contas de mais de 20 voluntários, assim como as de 10 mil internautas aleatórios, foram monitoradas por duas semanas. Assim, descobriu-se que basta telefonar para uma determinada pessoa para obter seu endereço de IP e, se utilizar um serviço de geolocalização, também é possível identificar sua localização e provedor de acesso.
O cibercriminoso pode, inclusive, obter os dados antes de mesmo de concluir a chamada, de modo a não levantar suspeitas da vítima. Mesmo se o usuário bloquear chamadas de pessoas que não estão na lista de contatos, o golpe não deixa de ser efetivo.
O estudo revela que empresas de marketing também podem ver utilidade na falha. Se unirem o telefone a informações disponíveis em redes sociais, como o Facebook ou o LinkedIn, conseguiriam acrescentar ao seu banco de dados milhares de nomes.
“Acreditamos que as implicações são bastante severas” disse Keith Ross. “Um hacker jovem, ou mesmo uma pessoa com conhecimentos básicos de programação, conseguiria, por exemplo, monitorar todos os membros do Congresso norte-americano. O ataque seria útil para extorsões ou investigações não autorizadas”.
Os executivos da Skype e da Microsoft foram alertados quanto às falhas pelos próprios pesquisadores e, segundo o New York Times, já estão trabalhando nelas.
“Valorizamos a privacidade de nossos usuários e estamos comprometidos com a segurança de nossos produtos”, disse Adrian Asher, chefe de segurança da empresa de VoIP, em comunicado “Assim como em qualquer software de comunicações via Internet, usuários podem determinar o IP do outro com que estiverem conectados. Com nossas pesquisas e desenvolvimento, continuaremos a avançar nessa área, aprimorando o programa”.
Até que o problema seja solucionado, Ross sugere aos usuários não deixarem o Skype aberto enquanto não estiverem usando-o. Também recomenda que os nomes de usuários criados não sejam iguais aos nomes verdadeiros.
