مايكروسوفت تتباطأ في إصلاح ثغرة في تطبيق سكايب
كشف تقرير صادر عن موقع (ميديا 404) Media 404 أن شركة مايكروسوفت تتباطأ في إصلاح ثغرة أمنية خطرة أخرى.
وقال التقرير إن تطبيق التراسل سكايب للأجهزة الذكية يعاني من خلل قد يسمح للقراصنة بالحصول على عنوان (بروتوكول الإنترنت) IP الخاص بالمستخدمين عن طريق فتح رسالة تحتوي على رابط، وذلك دون الحاجة إلى النقر عليه.
وتسمح الثغرة، التي اكتشفها الباحث الأمني المستقل (يوسي)، للقراصنة بمعرفة الموقع العام للمستخدمين من خلال جعلهم يفتحون رسالة تحتوي على رابط.
ومع أن (يوسي) أبلغ مايكروسوفت بالخلل في وقت سابق من هذا الشهر، أفاد (ميديا 404) بأن الشركة وعدت بإصدار تصحيح بعد أن تواصل الموقع معها.
ولتأكيد خطورة الخلل، يبدو أنه لا يهم موقع الويب الذي ينقل الرابط المستخدمين إليه.
وقد أظهر الباحث الخلل لموقع (ميديا 404) من خلال جعل مراسلها يفتح روابط إلى google.com و404media.co.
وتمكن يوسي من الحصول على عنوان بروتوكول الإنترنت الخاص بالمراسل في المرتين، وذلك حتى عندما استخدم شبكة افتراضية خاصة VPN، من المفترض أن تخفي موقعك.
وعندما تواصل يوسي مع مايكروسوفت بشأن المشكلة في 12 آب/ أغسطس الجاري، أفادت التقارير بأن الشركة أخبرت الباحث أن «الكشف عن عنوان بروتوكول الإنترنت لا يُعد ثغرة أمنية في حد ذاتها»، مضيفةً أن الخلل «لا يلبي متطلبات تعريف الثغرة الأمنية التي قد ’تتطلب خدمة فورية’».
وعندما اتصل موقع (ميديا 404) بمايكروسوفت، قالت الشركة إنها سوف تعالج الخلل في «تحديث المنتج المستقبلي» لكنها لم تقدم جدولًا زمنيًا تقديريًا.
ولم يقدم موقع (ميديا 404) تفاصيل بشأن كيفية استغلال القراصنة الخلل، واكتفى بالقول: «من السهل استغلال الخلل ويتضمن تغيير مَعْلمة معينة تتعلق بالرابط».
وهذا يعني أن القراصنة يمكنهم الاستمرار في استغلال هذه المشكلة حتى تقرر مايكروسوفت إصلاحها، مما قد يؤدي إلى كشف معلومات المستخدمين دون علمهم.
ومنذ أن اخترق قراصنة صينيون رسائل البريد الإلكتروني للحكومة الأمريكية من خلال خدمة الحوسبة السحابية (مايكروسوفت أزور) في شهر تموز/ يوليو الماضي، واجهت الشركة انتقادات متزايدة بسبب تعاملها مع الثغرات الأمنية.
وفي وقت سابق من هذا الشهر، انتقد (أميت يوران)، المدير التنفيذي لشركة الأمن السيبراني (تينابل) Tenable، ممارسات الشركة «في الإهمال الصارخ»، واستشهد بمثاله الخاص عن تأخير مايكروسوفت إصلاحًا حاسمًا رصدته الشركة. فما كان من مايكروسوفت إلا أن أصلحت المشكلة بعد أن نشر عنها يوران.
