Skype setzt Passwort-Reset wegen Sicherheitsproblemen aus

Der Exploit wurde schon vor einiger Zeit in russischen Foren diskutiert. Jetzt wird er aber offenbar auch tatsächlich ausgenutzt. Mit ihm können Angreifer das Skype-Konto ihres Opfers übernehmen. Skype wehrt sich durch die Sperrung der Funktion. Nutzer können sich durch eine geheime E-Mail-Adresse schützen.

von Peter Marwan 0


Skype hat die Nutzer mit einem kurzen Hinweis darauf aufmerksam gemacht, dass der Dienst Berichten über eine neue Schwachstelle nachgeht. Im Rahmen der Untersuchungen stehe vorübergehend die Möglichkeit, Passwörter zurückzusetzen, nicht zur Verfügung.

Dem Portal The Next Web zufolge handelt es sich um eine Schwachstelle, die Angreifern erlaubt, Skype-Benutzerkonten auf einfache Weise zu kapern: Es reicht demnach aus, die E-Mail-Adresse des Opfers zu kennen.

Der Angriff funktioniert, weil Skype bei einer Wiederanmeldung aufgrund eines “vergessenen” Passworts das neue nicht nur an die Mail-Adresse schickt, unter der es nur der berechtigte Nutzer lesen können sollte, sondern sich das Passwort auch an die Skype-App selbst schicken lässt. Damit kann ein unbefugter Dritter es dazu verwenden, den Nutzernamen zu übernehmen und den eigentlichen Besitzer auszusperren.

Über diese Möglichkeit wurde dem Sophos-Experten Graham Cluely zufolge schon vor ein paar Monaten in russischen Foren diskutiert. Nun scheint die Angriffsmöglichkeit aber Freunde gefunden zu haben, die sie in der Praxis ausnutzen. Skype scheint sich nicht anders zu helfen gewusst zu haben, als das Zurücksetzen von Passwörtern, ohne das der Angriff nicht funktioniert, für alle Benutzer zu unterbinden.

Nutzer selbst hatten zuvor schon die Möglichkeit, eine öffentlich nicht bekannte E-Mail-Adresse mit ihrem Skype-Konto zu verknüpfen, um sich so vor dieser Angriffsvariante zu schützen. Dieser Weg ist vielleicht nicht nur für Skype sondern auch für andere Dienste keine schlechte Wahl, um Angreifern das Leben etwas schwerer zu machen.

Das Cloud-Dienste für Angriffe über die – erforderliche Möglichkeit – Passwörter zurückzusetzen angreifbar sind, musste dieses Jahr auch schon Apple und Amazon erfahren. Einfallstor war bei Apple die telefonische Passwortrücksetzung für den Dienst iCloud. Damit gelang es einem Angreifer im August, die Kontrolle über das iPhone, iPad und MacBook des US-Journalisten Mat Honan zu übernehmen.

Er leitete einen Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein. Und da Honan unvorsichtigerweise eine von Apple vergebene E-Mail-Adresse auch anderen Diensten zugeordnet hatte, konnte sich der Hacker auch Zugang zum Gmail-Konto des Journalisten verschafften, das er löschte, sowie auf dessen Twitter-Konto sowie das seines ehemaligen Arbeitgebers zugreifen und darüber Nachrichten für die eigentlichen Account-Inhaber unangenehme Nachrichten verbreiten.

Update 14. November 16 Uhr 41:: Skype hat die Lücke inzwischen offenbar geschlossen. Die “sehr kleine Zahl betroffener Nutzer” will der Dienst persönlich ansprechen.



Peter Marwan
Autor: Peter Marwan
Chefredakteur
Peter Marwan Peter Marwan Peter Marwan
ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Letzter Kommentar




0 Antworten zu Skype setzt Passwort-Reset wegen Sicherheitsproblemen aus

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>