Schwachstelle in Facebook-Integration ermöglicht Account-Übernahme

Skype 5.3 und 5.5 mit kritischem Sicherheitsleck

Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Die neue Skype-Version 5.5 ist erschienen, und sie bringt neben neuen Funktionen auch eine gefährliche Lücke mit, von der anscheinend auch die Ausgabe 5.3 betroffen ist. "Ich konnte auf Anhieb mehrere persistente Sicherheitslücken ausfindig machen, die es mir erlauben mittels eines Facebook Pinnwand-Kommentar die Session eines Skype-Nutzers auszulesen und somit volle Kontrolle über dessen Session zu erlangen.", schreibt Sicherheitsexperte David Vieira-Kurz auf seinem Blog http://www.secalert.net/ . An der Behebung des Lecks wird gearbeitet.

Die neue Skype-Version 5.5 ist erschienen, und sie bringt neben neuen Funktionen auch eine gefährliche Lücke mit, von der anscheinend auch die Ausgabe 5.3 betroffen ist. "Ich konnte auf Anhieb mehrere persistente Sicherheitslücken ausfindig machen, die es mir erlauben mittels eines Facebook Pinnwand-Kommentar die Session eines Skype-Nutzers auszulesen und somit volle Kontrolle über dessen Session zu erlangen.", schreibt Sicherheitsexperte David Vieira-Kurz auf seinem Blog. An der Behebung des Lecks wird gearbeitet.

Kommentar-Leck erlaubt Hijacking

Die neue Skype-Version 5.5 hat eine Sicherheitslücke!
Die neue Skype-Version 5.5 hat eine Sicherheitslücke!

Das Problem: Skype erlaubt es, auf Facebook Einträge zu lesen und zu schreiben. Über einen Pinnwandkommentar lässt sich aufgrund der Sicherheitslücke die Session-ID des jeweiligen Skypers auslesen. Diese ermöglicht das Hijacken der Sitzung und damit potentiell die Übernahme des gesamten Accounts.

Die Ursache, so Vieira-Kurz, ist in der unsauberen Verarbeitung von Facebook-Comments in Skype zu finden, die selbige vor der Auslieferung nicht bereinigt. Angreifer und Opfer müssen auf der Plattform nicht befreundet sein, es genügt die gleiche Fanpage zu "liken", wenn diese das Posten von Kommentaren erlaubt. Der Sicherheitsfachmann veröffentlichte ein Proof-of-Concept-Video.

Mobile Versionen nicht betroffen

Skype ist das Problem mittlerweile bekannt. Betroffen sind die Versionen 5.3 und 5.5 für Windows, so das Unternehmen. An einem Fix wird gearbeitet. Wann ein entsprechendes Update verfügbar ist, steht noch nicht fest. Die Android- und iOS-Versionen des Messengers sind nicht betroffen, da diese nicht über Facebook-Integration verfügen. Spezifische Sicherheitsratschläge hat man derzeit nicht parat, Skype rät aber generell, bei der Auswahl von Kontakten Vorsicht walten zu lassen. (pte/rw)

Zur Startseite