Una vulnerabilidad de skype permite averiguar direcciones IP

Hoy nos hacemos eco de una noticia que lejos de ser nueva sí está ahora haciéndose popular y saltando a la red: un exploit diseñado para el popular servicio de llamadas y videollamadas VoIP, Skype, es capaz de ofrecer a sus usuarios la dirección IP tanto remota como local de cualquier usuario de este servicio, tal y como han anunciado en varios sitios, entre ellos, en skype-open-source.

La prueba de concepto es muy sencilla. Lo único que tiene que hacer un atacante que quiera hacerse con direcciones IP es descargarse una versión especial de Skype y alterar unas cuantas entradas del registro. De esta manera, cuando se añade un contacto de Skype, y antes de enviar la solicitud, la información completa de la «víctima» puede verse en su ficha de información. En este momento, el fichero de logs graba la dirección IP del usuario.

Con dicha información es muy sencillo obtener más datos del usuario utilizando para ello servicios como «Whois», a través del cual podremos averiguar el país, la ciudad de origen del usuario, su proveedor de Internet y la dirección IP interna del usuario, por ejemplo. Según bromean en Pastebin, esta información podría utilizarse con diferentes fines:

La versión llamada «Skype 5.5» necesaria para obtener las direcciones IP está colgada en diferentes sitios webs y es de libre descarga. Este asunto lleva meses discutiéndose en foros profesionales, como se prueba en este estudio presentado por un equipo internacional de investigadores en la Conferencia 2011 sobre Internet celebrada el pasado mes de noviembre en Berlín.

Dado que el exploit se aprovecha de una funcionalidad de skype, por ahora el único método para mantener tu privacidad a salvo es hacer log-out (salir) de Skype si no lo estás usando o bien utilizarlo por medio de una VPN para ocultar la IP.
Los responsables de Skype han comentado que están estudiando el problema, aunque han afirmado que se trata de «un problema común dentro de la industria P2P»:

Yolanda Ruiz

@yolandaruiz

Usan Skydrive como gancho para capturar contraseñas de Windows Live