Bericht: Skype für Android gibt Namen und Telefonnummern preis

Ein Entwickler namens Justin Case hat auf eine Sicherheitslücke in Skype für Android aufmerksam gemacht. Demnach lassen sich über die App Namen, Telefonnummern und Chat-Logs abgreifen. Skype sei informiert und dabei, die Angelegenheit zu untersuchen, schreibt Case.

Am 11. April sei eine durchgesickerte Version von Skype Video im Web aufgetaucht, die Case analysierte. Er habe rasch einen Exploit aus dem Ärmel geschüttelt und sei schockiert gewesen, wie viele Daten sich damit abfangen ließen. Daraufhin nahm er auch die Standardversion von Skype für Android unter die Lupe, die seit Anfang Oktober 2010 zur Verfügung steht. Sie weise dieselbe Schwachstelle auf.

Case zufolge gibt es in Skypes Datenverzeichnis Ordner, die jeweils denselben Namen wie ein Skype-Nutzer tragen. Dort sind Informationen wie Kontakte, Profil und IM-Logs in SQlite3-Datenbanken abgelegt. Skype habe es versäumt, diese Dateien ausreichend zu schützen, sodass jede App darauf Zugriff habe. „Sie sind nicht nur zugänglich, sondern auch komplett unverschlüsselt“, schreibt Case.

Selbst wer den Nutzernamen nicht kennt, kann das Verzeichnis laut Case ohne Weiteres finden. Nutzernamen sind ihrerseits in einem statischen Ordner abgespeichert. Ein Hacker könnte ihn parsen und den Namen sowie den Pfad zu den abgespeicherten Daten finden. In einer Datenbank namens main.db hat Case selbst Informationen wie Skype-Guthaben, Klarnamen, Geburtsdatum, Wohnort, Land, Telefon- und Handynummer gefunden. Die Kontakte-Datenbank enthalte ähnlich umfangreiche Informationen – und deutlich mehr, als Skype seinen Nutzern anzeige.

Case rät Skype dazu, zunächst den Zugriff auf die Dateien einzuschränken. Zusätzlich sei eine Verschlüsselung notwendig. Zuletzt müsse Skype seine Applikationen vor Veröffentlichung ordentlich auf Sicherheitslücken testen lassen. Eine Proof-of-Concept-App namens Skypwned (Download) zeigt einen Teil der Daten an, die über die Schwachstelle zugänglich sind.

HIGHLIGHT

Malware für Android: echte Gefahr oder Übertreibung?

Antivirenhersteller warnen vor Schädlingen im Android Market und bieten kostenpflichtigen Schutz an. ZDNet erläutert, warum es faktisch keine Malware für das Google OS gibt, und ein Virenschutz nicht erforderlich ist.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago