Skype-Konten über die Mail-Adresse kapern

Originalartikel Rik Ferguson, Director Security Research & Communications EMEA


Image Credit: dingler1109 Flickr used under Creative Commons.

In Skype wurde eine schwerwiegende Sicherheitslücke entdeckt, über die ein Angreifer, wenn er die E-Mail-Adresse eines Nutzers kennt, dessen Skype-Konto übernehmen kann. Der Machbarkeitsbeweis dafür ist in einem russischen Forum vor etwa drei Monaten veröffentlicht und jetzt auf verschiedenen Webseiten wieder aufgenommen worden, da die Lücke immer noch nicht geschlossen ist. Der Autor stellte auch fest, dass die Lücke auf breiter Basis ausgenutzt wurde und viele seiner eigenen Kontakte davon betroffen waren.

Die Vorgehensweise ist so einfach, dass sogar ein im Umgang mit Computern unerfahrener Nutzer den Angriff ausführen kann. Er benötigt lediglich eine neue Skype-ID und muss diese der E-Mail-Adresse seines Opfers zuweisen. Danach ermöglicht es ein Fehler in der Kennwort-Reset-Prozedur, damit die Kontrolle über das Konto des Opfers zu übernehmen. Das Opfer wird dabei aus seinem Konto ausgesperrt, während der Hacker alle an das Opfer gerichtete Nachrichten erhält und darauf antworten kann, ohne dass der Betroffene darüber informiert wird. Der Autor hat die Sicherheitslücke getestet und der gesamte Prozess dauerte nur wenige Minuten.

Microsoft, seit letztem Jahr Besitzer von Skype, würde davon in Kenntnis gesetzt und hat als Vorsichtsmaßnahme die Seite mit der Kennwort-Reset-Prozedur vom Netz genommen, während der Fehler analysiert wird.

Die einzige Möglichkeit sich zu schützen (bevor die Reset-Seite vom Netz genommen wurde), bestand darin, sich eine separate, nicht öffentliche Mail-Adresse für das eigene Skype-Konto zuzulegen. Der Nachteil einer solchen Maßnahme ist allerdings, dass der Nutzer den Eingang einer solchen Mail-Adresse nicht regelmäßig prüft und damit auch mögliche Angriffe nicht bemerkt.

Die Lehre aus diesen Angriffen: Sogar Informationen, die ein Nutzer gewöhnlich jedem zugänglich machen kann, lassen sich gegen einen verwenden. Es kann nicht genug Vertraulichkeit geben!

Update vom 14.11.2012, 18.15 Uhr:

Mittlerweile hat Skype auf den Vorfall reagiert und nach eigenen Angaben die Sicherheitslücke geschlossen:

http://heartbeat.skype.com/2012/11/security_issue.html

2 Gedanken zu „Skype-Konten über die Mail-Adresse kapern

  1. Pingback: Sicherheitslücke ermöglichte monatelang das Kapern von Skype-Konten | ZDNet.de

  2. Pingback: Skype: Gravierende Sicherheitslücke bringt Accounts in Gefahr » playm.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*