Update: Skype hat die Sicherheitslücke beim Zurücksetzen des Account-Passworts behoben. Der Prozess wurde überarbeitet, sodass der Passwort-Reset nun nicht mehr von fremden Usern vorgenommen werden kann. Skype reagiert somit zwar relativ schnell auf das heute populär gewordene Sicherheitsrisiko, erstmals informiert wurde das Unternehmen darüber aber offenbar schon vor einigen Monaten.
Originalmeldung: In der VoIP-Software Skype klafft eine gravierende Sicherheitslücke, die die Übernahme fremder Benutzerkonten in wenigen Schritten ermöglicht. Kennt der Angreifer entweder den Benutzernamen oder die E-Mail-Adresse eines beliebigen Skype-Kontos, lässt sich das Passwort in kürzester Zeit zurücksetzen und ein neues vergeben. Mit dem neuen Passwort kann sich der Angreifer dann problemlos in den fremden Skype-Account einloggen und erhält so Zugriff auf alle gespeicherten Konversationen und Kontakte.
Skype in sechs Schritten hackbar
Der Account-Diebstahl funktioniert einem Internetforum zufolge in sechs Schritten: Zunächst ist die Registrierung eines neuen Accounts auf der Skype-Webseite nötig. Dabei zeigt die Webseite an, ob für die eingegebene E-Mail-Adresse bereits ein Account besteht. Im Anschluss wird für diese bestehende, fremde E-Mail-Adresse ein zweites Skype-Konto mit beliebigem Benutzernamen und Passwort angelegt. Nach der Anmeldung mit den gewählten Daten am Skype-Client führt der Weg dann zur Anmelde-Webseite von Skype.
Hier wird ein neues Passwort für das mit der fremden E-Mail-Adresse verknüpfte Skype-Konto angefordert. Neben dem Versand einer Bestätigungs-E-Mail erhält der Skype-Client einen Token, über den der Angreifer per Popup auf dem Desktop informiert wird. Ein Rechtsklick darauf offenbart schließlich einen temporären Link, über den auch das echte Skype-Konto des Opfers mit einem neuen Passwort versehen werden kann.
Update bringt noch keine Lösung
Microsoft hat mittlerweile auf die Gefahr reagiert und die Rücksetzung von Skype-Passwörtern vorübergehend abgeschaltet. Über eine alternative URL soll es jedoch weiterhin möglich sein, ein beliebiges Kennwort für fremde Konten zu vergeben. Das heute von Microsoft veröffentlichte Skype-Update mit der Versionsnummer 6.0.0.126 behebt die Sicherheitslücke noch nicht. Die derzeit einzige Möglichkeit, sich vor einer Kontoübernahme zu schützen, ist deshalb die Verwendung einer möglichst unbekannten E-Mail-Adresse. Um die bestehende Adresse zu ändern, rufen Sie die Skype-Webseite auf, klicken auf den Link "Profil" und neben dem Abschnitt "Persönliche Informationen" auf "Bearbeiten". Unter "Kontaktdetails" fügen Sie dann eine neue E-Mail-Adresse hinzu, legen Sie als registrierte E-Mail-Adresse fest und löschen gegebenenfalls die bisher verwendete.