Sicherheitsforscher sagen, sie hätten Skype vor etwa 18 Monaten über den IP-Adressfehler informiert. Noch besorgniserregender ist, dass Microsoft noch nicht bekannt gegeben hat, dass ein Patch kommt und wann mit seiner Veröffentlichung zu rechnen ist.
Anfang dieser Woche wurde dies bekannt Das zu Microsoft gehörende Skype gibt vertrauliche Benutzerdaten preis, einschließlich interner und externer IP-Adressen und TCP-Ports. Das Problem wurde öffentlich bekannt gegeben und mein Kollege Ryan Naraine bestätigte, dass ein webbasiertes Tool verfügbar ist, mit dem Angreifer die letzte bekannte IP-Adresse eines Skype-Benutzers ermitteln können. Er stellte außerdem fest, dass ein Angreifer mit einem Skype-Benutzernamen zusätzliche Informationen wie Stadt, Land und Internetdienstanbieter (ISP) abgreifen kann.
Jetzt erfahren wir, dass Skype bereits vor über einem Jahr über diese Sicherheitslücke informiert wurde. Die Sicherheitsforscher, die die Schwachstelle entdeckt haben, sind Teil des französischen Forschungsinstituts
Inria und das Polytechnisches Institut der New York University. Stevens Le Blond, der Gruppenleiter, sagte dem WSJ Am Telefon gaben sie im November 2010 bekannt, dass sie Skype ihre ursprünglichen Erkenntnisse mitgeteilt hatten.Im Oktober 2011 veröffentlichten sie Ergebnisse, die zeigen, wie man zwei Wochen lang heimlich den Standort von 10.000 Skype-Nutzern auf Stadtebene verfolgen kann. Angesichts der Beliebtheit von Skype in der Branche beschrieben die Forscher, wie die Schwachstelle für Unternehmensspionage genutzt werden könnte: Ein Unternehmen könnte die Bewegungen konkurrierender Mitarbeiter auf ihren Reisen verfolgen, um festzustellen, wo und mit welchen Unternehmen sie geschäftlich tätig sind dem.
Letzte Woche testete Le Blond seine Recherchen erneut und stellte fest, dass Skype die Sicherheitslücke immer noch nicht behoben hatte. Er wies auch darauf hin, dass die Informationen als erster Schritt zum Hacken in den Computer einer Führungskraft genutzt werden könnten.
Die Nachricht lässt die Aussage von Skype zur Situation völlig unangebracht erscheinen. „Wir untersuchen Berichte über ein neues Tool, das die letzte bekannte IP-Adresse eines Skype-Benutzers erfasst“, sagte ein Skype-Sprecher in einer Erklärung. „Dies ist ein anhaltendes, branchenweites Problem, mit dem alle Peer-to-Peer-Softwareunternehmen konfrontiert sind. Wir fühlen uns der Sicherheit unserer Kunden verpflichtet und ergreifen Maßnahmen, um sie zu schützen.“
Ja, das Tool ist neu, aber das ist nicht die ganze Geschichte. „Indem man es als ‚neues Tool‘ bezeichnet, bedeutet das, dass sie nicht so dringend reagieren müssen“, sagte Le Blond. „Es sieht so aus, als hätten sie es gerade erst herausgefunden.“
Ich habe Microsoft für weitere Informationen kontaktiert und werde Sie informieren, wenn ich etwas höre.
Update um 12:00 Uhr PST - Microsoft teilte mir mit, dass es sich bei der obigen Aussage um die neueste Aussage handele, und lehnte eine weitere Stellungnahme ab.
Siehe auch:
- Skype gibt Benutzer-IP-Adressen und TCP-Ports preis
- Skype: Welche Art von Infrastrukturänderungen hat Microsoft vorgenommen?
- Microsoft veröffentlicht Version 1.0 von Skype für Windows Phone
- Skype für iPad: Eine großartige Möglichkeit, für Remote-Mitarbeiter in Kontakt zu bleiben
- Microsoft verspottet Facebook und Twitter in einer Skype-Werbekampagne
- Die Bing- und Skype-Einheiten von Microsoft vertiefen ihre Zusammenarbeit