Eine Schwachstelle in der mobilen Skype-App lässt Angreifer die IP-Adressen anderer Nutzer auslesen und damit grob deren Standort ermitteln.
Angreifer können in Skype die IP-Adressen von Nutzern der mobilen App auslesen. (Bild: pexels.com / Mikhail Nilov)
Ein unabhängiger Sicherheitsforscher hat eine Schwachstelle in der mobilen App von Skype identifiziert, anhand derer ein Angreifer durch das Versenden eines Links an eine Zielperson deren IP-Adresse ausspähen und damit Rückschlüsse auf ihren Standort ziehen kann. Wie aus einem Bericht von 404 Media hervorgeht, muss die Verlinkung weder auf eine böswillige Webseite verweisen noch vom Nutzer angeklickt werden.
Es reicht demnach aus, beispielsweise einen Link zu Google.com, der um einen nicht näher genannten Link-Parameter ergänzt wird, in einen Chat mit der Zielperson einzufügen. Das bloße Einsehen der Nachricht durch die angegriffene Person in einer mobilen Skype-App soll daraufhin dazu führen, dass der böswillige Akteur die IP-Adresse auslesen kann. Da Microsoft die Schwachstelle noch nicht behoben habe, will 404 Media die technischen Details zur Ausnutzung noch unter Verschluss halten, um Skype-Nutzer nicht unnötig zu gefährden, heißt es.
Microsoft lässt sich Zeit
Microsoft scheint es mit der Beseitigung des Problems allerdings nicht sonderlich eilig zu haben. Zwar habe der Entdecker der Schwachstelle den Konzern bereits Anfang August auf seine Erkenntnisse aufmerksam gemacht, jedoch habe Microsoft daraufhin erklärt, das Problem müsse nicht sofort behoben werden, da "die Offenlegung einer IP-Adresse für sich genommen keine Sicherheitslücke darstellt".
Erst nach einer Bitte um Stellungnahme seitens 404 Media habe der Skype-Entwickler erklärt, das Problem "in einem künftigen Produktupdate als Verbesserung der Tiefenverteidigung beheben" zu wollen, um den Schutz seiner Kunden zu gewährleisten. Einen Zeitplan für die Fehlerbeseitigung habe das Unternehmen jedoch nicht geteilt. Das Skype-Produkt für Unternehmen sei von der Schwachstelle nicht betroffen.
IP-Adressen erlauben grobe Standortbestimmung
Normalerweise verbergen Skype und andere vergleichbare Dienste die IP-Adressen ihrer Nutzer, um die Privatsphäre der Anwender zu schützen. Durch die jüngst entdeckte Schwachstelle lässt sich diese Sicherheitsbarriere bei Benutzern der mobilen Apps des Dienstes allerdings umgehen.
Während die Sicherheitslücke für die meisten Skype-Nutzer tatsächlich ungefährlich sein dürfte, gibt es dennoch einige Personengruppen, für die die Offenlegung ihrer IP-Adressen durchaus eine große Gefahr darstellen kann. Dazu zählen etwa Journalisten, Whistleblower oder andere Personen, die potenzielle Ziele für Kriminalität oder politische Verfolgung darstellen. Denn anhand ihrer IP-Adresse lässt sich zumindest grob der Aufenthaltsort einer Zielperson bestimmen, sofern die Adresse nicht beispielsweise durch den Einsatz eines VPN-Dienstes gezielt verschleiert wird.
Quelle; golem
Angreifer können in Skype die IP-Adressen von Nutzern der mobilen App auslesen. (Bild: pexels.com / Mikhail Nilov)
Ein unabhängiger Sicherheitsforscher hat eine Schwachstelle in der mobilen App von Skype identifiziert, anhand derer ein Angreifer durch das Versenden eines Links an eine Zielperson deren IP-Adresse ausspähen und damit Rückschlüsse auf ihren Standort ziehen kann. Wie aus einem Bericht von 404 Media hervorgeht, muss die Verlinkung weder auf eine böswillige Webseite verweisen noch vom Nutzer angeklickt werden.
Es reicht demnach aus, beispielsweise einen Link zu Google.com, der um einen nicht näher genannten Link-Parameter ergänzt wird, in einen Chat mit der Zielperson einzufügen. Das bloße Einsehen der Nachricht durch die angegriffene Person in einer mobilen Skype-App soll daraufhin dazu führen, dass der böswillige Akteur die IP-Adresse auslesen kann. Da Microsoft die Schwachstelle noch nicht behoben habe, will 404 Media die technischen Details zur Ausnutzung noch unter Verschluss halten, um Skype-Nutzer nicht unnötig zu gefährden, heißt es.
Microsoft lässt sich Zeit
Microsoft scheint es mit der Beseitigung des Problems allerdings nicht sonderlich eilig zu haben. Zwar habe der Entdecker der Schwachstelle den Konzern bereits Anfang August auf seine Erkenntnisse aufmerksam gemacht, jedoch habe Microsoft daraufhin erklärt, das Problem müsse nicht sofort behoben werden, da "die Offenlegung einer IP-Adresse für sich genommen keine Sicherheitslücke darstellt".
Erst nach einer Bitte um Stellungnahme seitens 404 Media habe der Skype-Entwickler erklärt, das Problem "in einem künftigen Produktupdate als Verbesserung der Tiefenverteidigung beheben" zu wollen, um den Schutz seiner Kunden zu gewährleisten. Einen Zeitplan für die Fehlerbeseitigung habe das Unternehmen jedoch nicht geteilt. Das Skype-Produkt für Unternehmen sei von der Schwachstelle nicht betroffen.
IP-Adressen erlauben grobe Standortbestimmung
Normalerweise verbergen Skype und andere vergleichbare Dienste die IP-Adressen ihrer Nutzer, um die Privatsphäre der Anwender zu schützen. Durch die jüngst entdeckte Schwachstelle lässt sich diese Sicherheitsbarriere bei Benutzern der mobilen Apps des Dienstes allerdings umgehen.
Während die Sicherheitslücke für die meisten Skype-Nutzer tatsächlich ungefährlich sein dürfte, gibt es dennoch einige Personengruppen, für die die Offenlegung ihrer IP-Adressen durchaus eine große Gefahr darstellen kann. Dazu zählen etwa Journalisten, Whistleblower oder andere Personen, die potenzielle Ziele für Kriminalität oder politische Verfolgung darstellen. Denn anhand ihrer IP-Adresse lässt sich zumindest grob der Aufenthaltsort einer Zielperson bestimmen, sofern die Adresse nicht beispielsweise durch den Einsatz eines VPN-Dienstes gezielt verschleiert wird.
Quelle; golem
