Digital Life
30.04.2012

Skype gibt IP-Adressen der User bekannt

Eine Lücke erlaubt es die externe und interne IP-Adresse von Skype-Nutzern auszulesen. Ein Hacker hat eine Website online gestellt, mit der die IPs durch das Eingeben des Usernamens abgefragt werden können. Als er Skype im offiziellen Forum auf die Lücke hinwies, wurde sein Account gesperrt.

Eine neue Sicherheitslücke in Skype ermöglicht es die externe und interne IP-Adresse von Usern des Internet-Telefonie-Services auszulesen. In einem Blog-Eintrag wurde die dazu benötigte, manipulierte Skype-Version zum Download bereitgestellt. Um an die IP-Adressen eines Users zu kommen, aktiviert man in der Registry den Debug Logger und ruft in der Software das Profil des gewünschten Users auf. Die IP-Adressen werden in einer Log-Datei gespeichert.

Der Hacker Zhovner hat auf Basis der entdeckten Sicherheitslücke die Website skype-ip-finder.tk online gestellt. Diese erlaubt die IP-Adressen eines Users abzufragen, indem einfach sein Nutzername eingegeben wird. Hierzu wird kein eigenes Skype-Konto benötigt. Die IP-Adressen werden nur angezeigt, wenn der gesuchte Nutzer bei Skype angemeldet ist, bleiben aber auch mehrere Stunden nach dem Abmelden auf der Website abrufbar.

Skype löscht Nutzerkonto
Die Website zeigte zwischenzeitlich nur „LOL, Skype killed us" an. Mittlerweile ist sie wieder online, beim Versuch die IP-Adressen eines Nutzers abzufragen, wird aber eine Nachricht ausgegeben, dass der Service derzeit nicht verfügbar ist.

Zhovner hat im offiziellen Skype-Forum über die Sicherheitslücke berichtet. Als Reaktion wurde das Topic gelöscht und sein Skype-Account gesperrt. Mit dieser Maßnahme wollte Skype wohl das Verbreiten der Sicherheitslücke verhindern. Auf Nachfrage eines anderen Users wurde laut eines Forum-Administrators das Thema nicht gelöscht, sondern in ein internes Forum verschoben. Warum der Account von Zhovner gesperrt wurde, wurde nicht erklärt.

Eine unmittelbare Gefahr geht durch die Sicherheitslücke nicht aus. Die IP-Adresse und damit der ungefähre Standort des Users kann auch mit anderen Mitteln herausgefunden werden, über die Skype-Lücke ist es aber entsprechend einfach, solang der Username bekannt ist. Potenzielle Angreifer könnten die Lücke nutzen, um Informationen über die Netzwerkstruktur eines Unternehmens zu sammeln. Deutlich vereinfacht werden Angriffe auf Firmennetzwerke durch das Auslesen der internen IP-Adresse eines Skype-Users aber nicht.