{"id":285406,"date":"2023-08-29T10:13:34","date_gmt":"2023-08-29T08:13:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285406"},"modified":"2023-08-31T06:55:55","modified_gmt":"2023-08-31T04:55:55","slug":"ungefixter-skype-bug-ermglicht-angreifern-die-ip-adresse-der-opfer-abzufragen-august-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/29\/ungefixter-skype-bug-ermglicht-angreifern-die-ip-adresse-der-opfer-abzufragen-august-2023\/","title":{"rendered":"Ungefixter Skype-Bug ermöglicht Angreifern die IP-Adresse der Opfer abzufragen (August 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ein Sicherheitsforscher ist auf eine M\u00f6glichkeit gesto\u00dfen, die IP-Adresse eines Skype-Benutzers zu ermitteln, ohne dass die Zielperson \u00fcberhaupt auf einen Link klicken muss (IP-Address spoofing). Das k\u00f6nnte dazu genutzt werden, um Personen (z.B. Aktivisten, Dissidenten etc.) auszuspionieren. Microsoft wurde vom Sicherheitsforscher diesbez\u00fcglich kontaktiert, ist aber der Meinung, dass diese Sicherheitsl\u00fccke in Skype nicht sofort behoben werden muss und will sich Zeit mit einem Patch lassen. Meines Wissens nach betrifft es aktuell aber nur die Mobile-Apps von Skype.<\/p>\n

<\/p>\n

Ich kenne deine IP-Adresse<\/h2>\n

\"\"Ich bin gestern \u00fcber nachfolgenden Tweet<\/a> von Joseph Cox auf das Thema aufmerksam geworden. Ein Sicherheitsforscher mit dem Namen Yossi hat Joseph Cox \u00fcber eine Schwachstelle in Skype informiert, die Microsoft nicht beheben wollte. Um zu zu \u00fcberpr\u00fcfen, ob die Schwachstelle die beschriebenen Auswirkungen hat, bat Joseph Cox um einen Test. Zun\u00e4chst schickte der Sicherheitsforscher per Skype-Textchat einen Link zu google.com, der Link f\u00fchrte zur echten Google-Website und nicht zu einer gef\u00e4lschten.<\/p>\n

\"Skype<\/a><\/p>\n

Obwohl Cox diesen am iPad Link nicht angew\u00e4hlt hat, teilte der Sicherheitsforscher ihm dann (nachdem Cox die Nachricht auf Skype gesehen hatte) mit, unter welcher IP-Adresse Cox unterwegs war. Cox schrieb, dass er f\u00fcr diesen ersten Test sogar eine VPN-Verbindung benutzt habe, um die IP-Adresse zu verschleiern – was bei Skype aber nicht hilft.<\/p>\n

Dann wollte er noch einmal \u00fcberpr\u00fcfen, ob diese Schwachstelle missbraucht werden kann und hat sich mit einem \u00f6ffentlichen WLAN-Netzwerk ohne VPN verbunden. Dann hat er den Sicherheitsforscher gebeten, einen weiteren Link zu senden. Diesmal schickte der Sicherheitsforscher einen Link zu 404media.co per Chat. Auch hier handelte es sich um einen legitimen Link. Der Sicherheitsforscher schickte Jospeh Cox dann erneut eine IP-Adresse, die auf den Stadtteil zeigte, aus dem Josph Cox sich in das \u00f6ffentliche WLAN eingew\u00e4hlt und die Skype-Sitzung aufgebaut hatte.<\/p>\n

Der Sicherheitsforscher hatte das Ganze also mit Links zu Google als mit Links zur 404 Media-Website getestet. Alle diese Links f\u00fchrten auf die legitime Webseiten, wo kein Schadcode oder \u00e4hnliches lauerte. Durch eine kleine \u00c4nderung war es dem Sicherheitsforscher aber m\u00f6glich, die IP-Adresse des Skype-Ziels auszuforschen.<\/p>\n

Das Problem betrifft nur die mobilen Anwendungen von Skype, so der Sicherheitsforscher. Als Cox die Mac-Version von Skype verwendete, konnte der Sicherheitsforscher die IP-Adresse von Cox nicht herausfinden. Das Problem ist wohl, dass die Apps viel mehr Informationen \u00fcber die Nutzer haben, als ein Web-Client. Ein entsprechender Dienst muss dann technische Vorkehrungen treffen, um die IP-Adresse zweier Skype-Partner w\u00e4hrend einer Kommunikation zu isolieren und so verhindern, dass jemand diese IP-Adresse des Kommunikationspartners ermitteln kann. Skype erm\u00f6glicht es einem Hacker, die IP-Adresse seines Ziels ohne das Wissen oder die Zustimmung des Opfers abzugreifen.<\/p>\n

Microsoft l\u00e4sst sich Zeit<\/h2>\n

Das Ganze ist inzwischen von Jospeh Cox auf 404mdia.co im Artikel Hackers Can Silently Grab Your IP Through Skype. Microsoft Is In No Rush to Fix It<\/a> dokumentiert (ohne die internen Details offen zu legen). Der Sicherheitsforscher, meldete das Problem nach seiner Entdeckung Anfang August 2023 an Microsoft. Die R\u00fcckmeldung Microsofts per Mail war wohl, dass das Problem nicht sofort behoben werden muss. Im E-Mail-Austausch zwischen dem Sicherheitsforscher und Microsoft (der Cox vorliegt) gab keinen Hinweis darauf, dass das Unternehmen plant, die Sicherheitsl\u00fccke zu schlie\u00dfen. Erst als Cox dann \u00fcber 404 Media bei Microsoft nachfragte und um einen Kommentar gebeten hatte, teilte das Unternehmen mit, dass es das Problem in einem kommenden Update beheben werde.<\/p>\n

Dieser Sachverhalt kommt mir bekannt vor, Stefan Kanthak mir schon mal seinen E-Mail-Austausch mit dem Microsoft-Sicherheitsteam zum Thema Sicherheitsl\u00fccken zukommen l\u00e4sst. Oft verstehen die Microsoft-Sicherheitsleute den Sachverhalt nicht mal.<\/p><\/blockquote>\n

Warum das ein Problem ist<\/h2>\n

Nat\u00fcrlich ist es so, dass jeder, der eine Webseite besucht, seine IP-Adresse hinterl\u00e4sst. Menschen greifen daher zu anonymisierenden Diensten wie Tor oder VPN-Software, um diese IP-Adresse zu verschleiern. Bei Skype ist dies aber nicht m\u00f6glich, da der Skype-Client mit den Skype-Servern kommuniziert. Cox weist in seinem Artikel darauf hin, dass der obige Sachverhalt eine ernste Gefahr f\u00fcr Aktivisten, politische Dissidenten, Journalisten, Cyberkriminelle und viele andere Personen darstellen d\u00fcrfte.<\/p>\n

Anhand der IP-Adresse lasse sich zumindest erkennen, in welchem Teil einer Stadt sich jemand aufh\u00e4lt. In einem weniger dicht besiedelten Gebiet kann eine IP-Adresse sogar noch aufschlussreicher sein, weil es dort weniger Personen gibt, die mit ihr in Verbindung gebracht werden k\u00f6nnten. Wenn Strafverfolger oder Regimes die vom Provider vergebene IP-Adresse kennen, l\u00e4sst sich die betreffende Person einem Skype-Kontakt zuordnen.<\/p>\n

Cooper Quintin, ein Sicherheitsforscher und leitender Technologe f\u00fcr \u00f6ffentliche Belange bei der Aktivistenorganisation Electronic Frontier Foundation (EFF) sagte Joseph Cox auf Nachfrage: \"Ich denke, dass so gut wie jeder dadurch gesch\u00e4digt werden k\u00f6nnte. \" und seine gr\u00f6\u00dfte Sorge ist, \"dass der Standort von Personen f\u00fcr physische Eskalationen und die IP-Adresse von Personen f\u00fcr digitale Eskalationen ermittelt werden k\u00f6nne.\" Quintin wies auf die M\u00f6glichkeit des Missbrauchs gegen Dissidenten hin, die unter Pseudonymen arbeiten. Dieser Angriff k\u00f6nnte dazu genutzt werden, ihren Aufenthaltsort und ihre Identit\u00e4t zu erfahren.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Bi(n)gBang: Microsoft Azure-Schwachstelle erm\u00f6glicht Bing Search Hijacking und Office 365-Datenklau<\/a>
\nSicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nNach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein Sicherheitsforscher ist auf eine M\u00f6glichkeit gesto\u00dfen, die IP-Adresse eines Skype-Benutzers zu ermitteln, ohne dass die Zielperson \u00fcberhaupt auf einen Link klicken muss (IP-Address spoofing). Das k\u00f6nnte dazu genutzt werden, um Personen (z.B. Aktivisten, Dissidenten etc.) auszuspionieren. Microsoft wurde vom … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2391],"tags":[4328,4362],"class_list":["post-285406","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-skype","tag-sicherheit","tag-skype"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285406"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285406\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}