Eine in diversen Internetforen schon länger bekannte Sicherheitslücke von Skype sorgt für einige Aufregung. Offenbar ist es möglich, den Account anderer User leicht in die eigene Gewalt zu bringen. Voraussetzung ist lediglich die Kenntnis der E-Mail-Adresse, mit der das Konto registriert wurde.

Token-Versand als Schwachstelle

Bei The Next Web hat man nun erfolgreich versucht, den Exploit schrittweise nachzuvollziehen. Fordert man via Skype eine Rücksetzung des Passworts an, so wird nicht nur eine E-Mail an die Adresse des Users geschickt, sondern auch ein eindeutiges Token direkt an das Programm - und damit an den PC des Angreifers.

Dieses kann abgefangen werden und ermöglicht es diesem wiederum, selber ein neues Passwort festzulegen. Einmal eingeloggt, hat der Angreifer volle Kontrolle über das Konto und damit auch die Änderung des Usernamens und der E-Mail-Adresse, was eine komplette Übernahme erlaubt. Bislang besteht die einzige Möglichkeit, dieser Gefahr zu entgehen, darin, sich bei Skype mit einer E-Mail-Adresse zu registrieren, die niemandem anderen bekannt ist.

Kennwortrücksetzung temporär abgestellt

Bei Skype ist man nun alarmiert und arbeitet an der Behebung des Problems. Um bis zur Veröffentlichung einer Lösung weitere Angriffe zu verhindern, wurde die Webseite zur Wiederherstellung des Passwortes vom Netz genommen. Negativer Nebeneffekt: Wer sein Passwort vergessen hat, wird so lange wohl nicht auf das eigene Konto zugreifen können.

"Uns wurde von einer neuen Sicherheitslücke berichtet. Als Vorsichtsmaßnahme haben wir temporär die Passwortwiederherstellung deaktiviert, während wir das Problem weiter untersuchen. Wir entschuldigen uns für die Umstände, die dies verursacht, jedoch sind Nutzererfahrung und Sicherheit unsere obersten Prioritäten", so das Statement des Unternehmens. (red, derStandard.at, 14.11.2012)