image

Groot Skype-lek laat hackers account kapen

woensdag 14 november 2012, 10:36 door Redactie, 6 reacties

Een ernstig beveiligingslek in Skype maakt het mogelijk om accounts van anderen zonder veel moeite over te nemen. Aanvallers hoeven alleen het e-mailadres van hun slachtoffer te weten. Om de aanval uit te voeren volstaat het aanmaken van een nieuw Skype-account met het e-mailadres van het slachtoffer. Vervolgens verschijnt er een waarschuwing dat het e-mailadres al bestaat, maar het account kan nog steeds worden aangemaakt.

Hierna logt de aanvaller met het nieuw aangemaakte account in op de Skype-client. De volgende stap bestaat uit het resetten van het wachtwoord, waarna er een reset-token in de Skype-client verschijnt. De aanvaller hoeft alleen maar op de link te klikken om het wachtwoord te resetten en kan zo het account van het slachtoffer overnemen.

Geschiedenis
Volgens berichten op Reddit zou de aanvaller ook de gespreksgeschiedenis kunnen downloaden als het slachtoffer op het moment van de aanval online is. Inmiddels is er ook een handleiding online verschenen die de aanval uitlegt.

Als oplossing kunnen Skype-gebruikers een e-mailadres toevoegen dat een aanvaller niet zal raden om hierna het oorspronkelijke e-mailadres te verwijderen.

Update 12:19
Skype heeft inmiddels de pagina om het wachtwoord te resetten uitgeschakeld.

Update 2 - 13:15
De kwetsbaarheid is inmiddels door Skype bevestigd.

Reacties (6)
14-11-2012, 10:56 door 0101
Dit soort problemen hebben ze eerder gehad bij Microsoft: https://secure.security.nl/artikel/41284/1/Microsoft_dicht_gapend_gat_in_Hotmail.html.

Kennelijk hebben ze nog steeds niet door hoe het moet.
Edit: het lijkt erop dat Microsoft intussen wachtwoordreset heeft uitgeschakeld om erger te voorkomen. (http://www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/c7165tz)
14-11-2012, 12:44 door Anoniem
Die handleiding lezend zie ik twee punten waar Skype geblunderd heeft:

1. Je kan een tweede account voor een e-mailadres aanmaken zonder dat de eigenaar van dat e-mailadres het moet bevestigen. Het aanmaken van de account zou pas voltooid moeten kunnen worden nadat een bevestigingscode per e-mail is verzonden en degene die de account aanmaakt die code kan produceren, of als met het oorspronkelijke account wordt aangelogd en van daaruit de bevestiging wordt gegeven.

2. De reset-token verschijnt in de Skype-client. Die zou ENKEL per e-mail moeten worden verstuurd.

Eigenlijk maken de makers van deze procedure twee keer dezelfde denkfout. Ze doorzien niet dat je om een identiteit te verifiëren ENKEL EN ALLEEN gebruik moet maken van dingen waar je zonder die identiteit te hebben niet bij kan, en het enige externe kanaal daarvoor dat niet afhankelijk is van gerommel met dingen binnen Skype-accounts is een e-mail naar het adres van de accounthouder. Ik zou om die reden, als ik Skype was, een bevestiging vanuit het oorspronkelijke acccount, zoals ik in punt 1 noemde, niet ondersteunen. Dat soort voorzichtigheid helpt om je kwetsbaarheid voor je eigen denkfouten te minimaliseren.
14-11-2012, 15:01 door Anoniem
Zolang je met skype je ip adres niet kan verbergen is het een ramp. Ze moeten een functie erin zetten dat het ip adres niet achterhaald kan worden. Al zal dit niet makkelijk zijn.
14-11-2012, 17:59 door Anoniem
Zolang het P2P is kan je daar niet omheen.

Hier trouwens een mooie tutorial over hoe je IP te verbergen met een server via SSH (alleen voor skype.exe).
http://www.destinysc2.com/how-to-prevent-a-ddos-specifically-in-regards-to-the-wonderful-program-known-as-skype/
14-11-2012, 18:43 door Anoniem
Door Anoniem: Zolang je met skype je ip adres niet kan verbergen is het een ramp. Ze moeten een functie erin zetten dat het ip adres niet achterhaald kan worden. Al zal dit niet makkelijk zijn.

Hallo, het is een PEER-to-PEER programma!
Hoe wil je daarin ooit je IP adres verbergen?
15-11-2012, 22:29 door hx0r3z
Als je in MSN een file doet sharen gaat dat ook P2P. En dan kun je met netstat ook de persoon zijn IP achterhalen. Tenzij de persoon file sharing disabled heeft natuurlijk!

Skype is niet zo! Bij skype gaat meer over P2P dan bijvoorbeeld MSN.
En ik mag skype niet, vol met spam kiddies en het is gewoon rommel.

Lees dit:
http://www.scribd.com/doc/69593950/Skype

Audio clip, voice chat, video chat en de rest gaat geloof ik ook via P2P.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.