Skype: Nutzer-Tracking via Sicherheitslücke
Ein Forscherteam hat herausgefunden, dass eine Sicherheitslücke bei Skype es ermöglicht, den Standort der Nutzer mit Hilfe der IP-Adresse zu ermitteln. Angreifer können laut des Forschungsberichts auch Bewegungsprofile der Nutzer anlegen. Der Nutzer würde das Tracking nicht einmal bemerken. Der Clou: Filesharing ist auch ein Thema.
Einer Gruppe von Forschern macht darauf aufmerksam, dass es mit Skype grundsätzlich möglich ist, auf unbemerkte Weise die IP-Adresse der Nutzer ausfindig zu machen und diese dann beispielsweise mit dem BitTorrent-Netzwerk abzugleichen. Letzterer Punkt würde die Strafverfolgung zwar erleichtern, rechtlich gesehen ist das aber mehr als fragwürdig. Der Bericht beschreibt die Möglichkeit, spezielle Daten herauszufiltern, die der Nutzer in seinem Netzwerk zur Verfügung stellt. Es heißt, dass das Verfahren auch funktioniere, wenn die IP-Adresse von mehreren Anwendern geteilt würde. Das würde unter anderem auf die meisten DSL-Anschlüsse zutreffen. Mitautor Keith Ross erklärt, dass über simulierte Anrufe die IP-Adresse übermittelt wurde und dadurch zunächst einmal der Standort zu ermittelt war. Selbst eine Firewall hat in keinem der Versuche Schutz bieten können.
10.000 Nutzer wurden überwacht
Insgesamt wurden 10.000 Skype-Nutzer zwei Wochen lang überwacht. Das erschreckende ist aber nicht die Sicherheitslücke selbst. Sie kann ja schnell gestopft werden. Viel schlimmer ist, dass die Skype-Chefs vor über ein Jahr darüber informiert worden sind. Keith Ross, Professor an der New York Universität, sagte gegenüber einer US-Tageszeitung, dass nicht reagiert wurde. Die Betreiber des VoIP-Dienstes haben sich nun selbst zum Thema geäußert. Glaubt man den Angaben des Sicherheitschefs von Skype, werden diese Meldungen sehr ernst genommen. "Es sei normal, dass die Nutzer von Skype gegenseitig ihre IP-Adressen ermitteln." Das verstehe wer will?
Professor Ross geht noch einen Schritt weiter. Laut seinen Ausführungen können noch andere Kommunikationsanwendungen betroffen sein. Da bis heute noch nichts passiert ist, haben die Forscher sich dazu durchgerungen, den Bericht der Öffentlichkeit zur Verfügung zu stellen. Microsoft hat in der vergangenen Woche die Übernahme des VoIP-Dienstes abgeschlossen und wird wohl eher nicht erfreut sein, dass nun der Bericht im Netz steht – die Redmonder werden wahrscheinlich in Kürze reagieren und die Sicherheitslücke schließen. Alles andere wäre fahrlässig.