Ricercatori rivelano una vulnerabilità Skype che consente a un utente malintenzionato di identificare una persona, tracciare la posizione e monitorare le abitudini p2p. Verranno assoldati dalle società di intrattenimento che cercano di rintracciare in tutti i modi possibili le persone che scaricano file via p2p o torrent ?

Un nuovo studio intitolato “I Know Where You are and What You are Sharing” analizza un difetto di Skype segnalato 6 mesi fa e tuttora “unpatched”. StevensLeBlond, Chao Zhang, Arnaud Legout, Keith Ross e Walid Dabbous hanno scoperto come invadere la privacy degli utenti Skype e chiamarli senza alcuna autorizzazione. I ricercatori sono riusciti anche a ottenere l’indirizzo IP degli utenti Skype collegandoli ad attività specifiche su BitTorrent, anche quando l’indirizzo IP viene condiviso con altri utenti attraverso una rete locale che utilizza NAT o Network Address Translation.

Il metodo funziona anche quando gli utenti Skype hanno configurato i propri account per accettare le chiamate solo da persone presenti nel loro elenco contatti. Funziona anche con gli utenti Skype che non hanno effettuato l’accesso e hanno utilizzato il programma negli ultimi 3 giorni.

L’esperimento ha coinvolto 10000 utenti Skype e ha analizzato più di 50.000 file BitTorrent. I ricercatori sono stati in grado d’associare gli utenti (indirizzi IP) ai file scaricati dalla rete con un’ottima percentuale di successo (nota: esistono anche i falsi positivi, utenti che non hanno scaricato alcun file e sono stati identificati erroneamente come “pirati”).

Gli scienziati affermano che gli altri software di messaggistica come Google Talk, MSN Live e altre applicazioni per la comunicazione in tempo reale possono essere sensibili a questa vulnerabilità ma hanno scelto Skype vista la gravità della situazione.

“Abbiamo dimostrato che è possibile per un attaccante, con risorse modeste, determinare l’indirizzo IP dell’utente Skype. Nel caso di Skype, anche se l’utente bersaglio è dietro un NAT, l’attaccante può determinare l’indirizzo IP pubblico della vittima. Un attacco del genere potrebbe essere usato per molti scopi ilegittimi come l’analisi delle abitudini Internet della vittima. “

Il documento di ricerca, che si intitola “So dove di trovi e cosa condividi” (I Know Where You are and What You are Sharing), conclude formulando alcune raccomandazioni per migliorare la capacità di Skype nel nascondere l’identità dei suoi utenti.