Skype setzt Passwort-Reset wegen Sicherheitsproblemen aus

Peter Marwan,
Sicherheit

Skype hat die Nutzer mit einem kurzen Hinweis darauf aufmerksam gemacht, dass der Dienst Berichten über eine neue Schwachstelle nachgeht. Im Rahmen der Untersuchungen stehe vorübergehend die Möglichkeit, Passwörter zurückzusetzen, nicht zur Verfügung.

Dem Portal The Next Web zufolge handelt es sich um eine Schwachstelle, die Angreifern erlaubt, Skype-Benutzerkonten auf einfache Weise zu kapern: Es reicht demnach aus, die E-Mail-Adresse des Opfers zu kennen.

Der Angriff funktioniert, weil Skype bei einer Wiederanmeldung aufgrund eines “vergessenen” Passworts das neue nicht nur an die Mail-Adresse schickt, unter der es nur der berechtigte Nutzer lesen können sollte, sondern sich das Passwort auch an die Skype-App selbst schicken lässt. Damit kann ein unbefugter Dritter es dazu verwenden, den Nutzernamen zu übernehmen und den eigentlichen Besitzer auszusperren.

Über diese Möglichkeit wurde dem Sophos-Experten Graham Cluely zufolge schon vor ein paar Monaten in russischen Foren diskutiert. Nun scheint die Angriffsmöglichkeit aber Freunde gefunden zu haben, die sie in der Praxis ausnutzen. Skype scheint sich nicht anders zu helfen gewusst zu haben, als das Zurücksetzen von Passwörtern, ohne das der Angriff nicht funktioniert, für alle Benutzer zu unterbinden.

Nutzer selbst hatten zuvor schon die Möglichkeit, eine öffentlich nicht bekannte E-Mail-Adresse mit ihrem Skype-Konto zu verknüpfen, um sich so vor dieser Angriffsvariante zu schützen. Dieser Weg ist vielleicht nicht nur für Skype sondern auch für andere Dienste keine schlechte Wahl, um Angreifern das Leben etwas schwerer zu machen.

Das Cloud-Dienste für Angriffe über die – erforderliche Möglichkeit – Passwörter zurückzusetzen angreifbar sind, musste dieses Jahr auch schon Apple und Amazon erfahren. Einfallstor war bei Apple die telefonische Passwortrücksetzung für den Dienst iCloud. Damit gelang es einem Angreifer im August, die Kontrolle über das iPhone, iPad und MacBook des US-Journalisten Mat Honan zu übernehmen.

Er leitete einen Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein. Und da Honan unvorsichtigerweise eine von Apple vergebene E-Mail-Adresse auch anderen Diensten zugeordnet hatte, konnte sich der Hacker auch Zugang zum Gmail-Konto des Journalisten verschafften, das er löschte, sowie auf dessen Twitter-Konto sowie das seines ehemaligen Arbeitgebers zugreifen und darüber Nachrichten für die eigentlichen Account-Inhaber unangenehme Nachrichten verbreiten.

Update 14. November 16 Uhr 41:: Skype hat die Lücke inzwischen offenbar geschlossen. Die “sehr kleine Zahl betroffener Nutzer” will der Dienst persönlich ansprechen.

Lesen Sie auch :

Starke Passwörter als Schlüssel für eine effiziente IT-Security

LastPass-Alternative 1Password auch für Einzelpersonen als Dienst verfügbar

Gravierende Sicherheitslücken im Passwortmanager LastPass gefunden
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen