Skype permite que hackers rastreiem downloads por torrent

Skype permite que hackers rastreiem downloads por torrent

Um estudo entitulado “Eu sei onde você está e o que está compartilhando: explorando comunicações P2P para invadir a privacidade dos usuários” mostra que o Skype pode ser usado como porta de entrada para monitorar os downloads feitos pelo usuário através de programas que usam o protocolo torrent.

O método descoberto pelos autores funciona mesmo quando os usuários não estão conectados ao mensageiro, ou quando configuram o recebimento de chamadas somente por contatos conhecidos. Para que a ferramenta de vigilância funcione, basta que a pessoa tenha usado o sistema de comunicações por VoIP nos últimos três dias.

Os cientistas mostram que, a partir de dados como endereço de email e data de nascimento, era relativamente fácil encontrar a identidade de uma pessoa no Skype. Somado a informações como local da residência, sexo ou idade da pessoa, fica fácil determinar o alvo a se atacar.

Método relativamente simples

Descoberta a identidade de uma pessoa no programa, os pesquisadores iniciaram o envio de pacotes usando um sistema especial. A partir dos dados retornados, foi possível detectar o endereço de IP do alvo, que em nenhum momento teve conhecimento do que estava acontecendo. Segundo o trabalho, um investimento semanal de US$ 500 dólares é suficiente para descobrir o IP de cerca de 10 mil pessoas.

Cruzando as informações com aquelas disponíveis em sites de torrente, foi possível determinar com grande precisão os arquivos baixados por cada um dos usuários do Skype. Segundo o estudo, programas como o Google Talk e o Windows Live Messenger também seriam suscetíveis a tais ataques, embora possuam menor número de vulnerabilidades de segurança.

Além de servir como uma forma de descobrir o que uma pessoa está baixando, conhecer o endereço de IP de uma pessoa pode abrir as portas para uma possível invasão da máquina. O trabalho sugere algumas soluções para o problema, entre elas uma mudança no serviço de VoIP, que passaria a fornecer informações do contato somente após uma ligação ter sido estabelecida.