[English]Ein Sicherheitsforscher ist auf eine Möglichkeit gestoßen, die IP-Adresse eines Skype-Benutzers zu ermitteln, ohne dass die Zielperson überhaupt auf einen Link klicken muss (IP-Address spoofing). Das könnte dazu genutzt werden, um Personen (z.B. Aktivisten, Dissidenten etc.) auszuspionieren. Microsoft wurde vom Sicherheitsforscher diesbezüglich kontaktiert, ist aber der Meinung, dass diese Sicherheitslücke in Skype nicht sofort behoben werden muss und will sich Zeit mit einem Patch lassen. Meines Wissens nach betrifft es aktuell aber nur die Mobile-Apps von Skype.
Anzeige
Ich kenne deine IP-Adresse
Ich bin gestern über nachfolgenden Tweet von Joseph Cox auf das Thema aufmerksam geworden. Ein Sicherheitsforscher mit dem Namen Yossi hat Joseph Cox über eine Schwachstelle in Skype informiert, die Microsoft nicht beheben wollte. Um zu zu überprüfen, ob die Schwachstelle die beschriebenen Auswirkungen hat, bat Joseph Cox um einen Test. Zunächst schickte der Sicherheitsforscher per Skype-Textchat einen Link zu google.com, der Link führte zur echten Google-Website und nicht zu einer gefälschten.
Obwohl Cox diesen am iPad Link nicht angewählt hat, teilte der Sicherheitsforscher ihm dann (nachdem Cox die Nachricht auf Skype gesehen hatte) mit, unter welcher IP-Adresse Cox unterwegs war. Cox schrieb, dass er für diesen ersten Test sogar eine VPN-Verbindung benutzt habe, um die IP-Adresse zu verschleiern – was bei Skype aber nicht hilft.
Dann wollte er noch einmal überprüfen, ob diese Schwachstelle missbraucht werden kann und hat sich mit einem öffentlichen WLAN-Netzwerk ohne VPN verbunden. Dann hat er den Sicherheitsforscher gebeten, einen weiteren Link zu senden. Diesmal schickte der Sicherheitsforscher einen Link zu 404media.co per Chat. Auch hier handelte es sich um einen legitimen Link. Der Sicherheitsforscher schickte Jospeh Cox dann erneut eine IP-Adresse, die auf den Stadtteil zeigte, aus dem Josph Cox sich in das öffentliche WLAN eingewählt und die Skype-Sitzung aufgebaut hatte.
Der Sicherheitsforscher hatte das Ganze also mit Links zu Google als mit Links zur 404 Media-Website getestet. Alle diese Links führten auf die legitime Webseiten, wo kein Schadcode oder ähnliches lauerte. Durch eine kleine Änderung war es dem Sicherheitsforscher aber möglich, die IP-Adresse des Skype-Ziels auszuforschen.
Das Problem betrifft nur die mobilen Anwendungen von Skype, so der Sicherheitsforscher. Als Cox die Mac-Version von Skype verwendete, konnte der Sicherheitsforscher die IP-Adresse von Cox nicht herausfinden. Das Problem ist wohl, dass die Apps viel mehr Informationen über die Nutzer haben, als ein Web-Client. Ein entsprechender Dienst muss dann technische Vorkehrungen treffen, um die IP-Adresse zweier Skype-Partner während einer Kommunikation zu isolieren und so verhindern, dass jemand diese IP-Adresse des Kommunikationspartners ermitteln kann. Skype ermöglicht es einem Hacker, die IP-Adresse seines Ziels ohne das Wissen oder die Zustimmung des Opfers abzugreifen.
Microsoft lässt sich Zeit
Das Ganze ist inzwischen von Jospeh Cox auf 404mdia.co im Artikel Hackers Can Silently Grab Your IP Through Skype. Microsoft Is In No Rush to Fix It dokumentiert (ohne die internen Details offen zu legen). Der Sicherheitsforscher, meldete das Problem nach seiner Entdeckung Anfang August 2023 an Microsoft. Die Rückmeldung Microsofts per Mail war wohl, dass das Problem nicht sofort behoben werden muss. Im E-Mail-Austausch zwischen dem Sicherheitsforscher und Microsoft (der Cox vorliegt) gab keinen Hinweis darauf, dass das Unternehmen plant, die Sicherheitslücke zu schließen. Erst als Cox dann über 404 Media bei Microsoft nachfragte und um einen Kommentar gebeten hatte, teilte das Unternehmen mit, dass es das Problem in einem kommenden Update beheben werde.
Dieser Sachverhalt kommt mir bekannt vor, Stefan Kanthak mir schon mal seinen E-Mail-Austausch mit dem Microsoft-Sicherheitsteam zum Thema Sicherheitslücken zukommen lässt. Oft verstehen die Microsoft-Sicherheitsleute den Sachverhalt nicht mal.
Warum das ein Problem ist
Natürlich ist es so, dass jeder, der eine Webseite besucht, seine IP-Adresse hinterlässt. Menschen greifen daher zu anonymisierenden Diensten wie Tor oder VPN-Software, um diese IP-Adresse zu verschleiern. Bei Skype ist dies aber nicht möglich, da der Skype-Client mit den Skype-Servern kommuniziert. Cox weist in seinem Artikel darauf hin, dass der obige Sachverhalt eine ernste Gefahr für Aktivisten, politische Dissidenten, Journalisten, Cyberkriminelle und viele andere Personen darstellen dürfte.
Anzeige
Anhand der IP-Adresse lasse sich zumindest erkennen, in welchem Teil einer Stadt sich jemand aufhält. In einem weniger dicht besiedelten Gebiet kann eine IP-Adresse sogar noch aufschlussreicher sein, weil es dort weniger Personen gibt, die mit ihr in Verbindung gebracht werden könnten. Wenn Strafverfolger oder Regimes die vom Provider vergebene IP-Adresse kennen, lässt sich die betreffende Person einem Skype-Kontakt zuordnen.
Cooper Quintin, ein Sicherheitsforscher und leitender Technologe für öffentliche Belange bei der Aktivistenorganisation Electronic Frontier Foundation (EFF) sagte Joseph Cox auf Nachfrage: "Ich denke, dass so gut wie jeder dadurch geschädigt werden könnte. " und seine größte Sorge ist, "dass der Standort von Personen für physische Eskalationen und die IP-Adresse von Personen für digitale Eskalationen ermittelt werden könne." Quintin wies auf die Möglichkeit des Missbrauchs gegen Dissidenten hin, die unter Pseudonymen arbeiten. Dieser Angriff könnte dazu genutzt werden, ihren Aufenthaltsort und ihre Identität zu erfahren.
Ähnliche Artikel:
Bi(n)gBang: Microsoft Azure-Schwachstelle ermöglicht Bing Search Hijacking und Office 365-Datenklau
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt
2015
*************************************************
eine ernste Gefahr für Aktivisten, politische Dissidenten, Journalisten, Cyberkriminelle und viele andere Personen darstellen dürfte.
*************************************************
Naja wenn dieser Personenkreis für ihre Aktivitäten Skype nutzt ist sowieso alles vergebens! DA kanst auch gleich mit deinen Realdaten signieren.
Richtig, das war auch mein erster Gedanke.
Ich wusste bis dato nicht, das überhaupt noch jemand Skype verwendet.
Zum Eigentlich "Problem"
Das Klappte schon vor Jahren mittels ICQ.
Dort konnte man eine Direktverbindung mit seinem Chat Partner herstellen und dann einfach mittels NETSTAT die IP des Gegenüber Rausfummeln.
Eine Sicherheitslücke in diesem Sinne ist es aber dennoch nicht,
da Im Prinzip Jeder eine IP Rausfinden kann. (Portscan)
Wichtig ist dabei nur, das eben keine Ports Offen sind und eine Firewall Funktioniert.
Skype hat immer schon versucht über UDP Hole Punching eine direkte Verbindung zwischen den Clients herzustellen. Spätestens dann ist es über System-Tools möglich die IP Adresse des anderen Teilnehmer herauszufinden.
Das war auch vor über 10 Jahren schon ein Thema:
https://www.m0rd0r.eu/how-to-find-the-ip-address-of-skype-user/