Sicherheitslücke in Skype für Mac OS X entdeckt
München, 15. Dezember 2016 – Forscher des Trustwave SpiderLabs haben eine Art Backdoor in der Mac-Version von Skype entdeckt. Über diese Sicherheitslücke, die wahrscheinlich schon seit Jahren besteht, können – ohne dass Anwender dies bemerken – Drittprogramme mit Skype kommunizieren und damit Gespräche mitgeschnitten werden. Ein Update, dass diese Sicherheitslücke schließt, ist bereits Ende Oktober erschienen. Trustwave empfiehlt allen Nutzer, das Update sofort zu installieren.
Bei der Sicherheitslücke handelt es sich laut den Forschern des Trustwave SpiderLabs, das aus IT-Sicherheitsexperten und ethischen Hackern besteht, nicht um einen Hackerangriff, sondern um einen Programmierfehler. Dieser besteht wahrscheinlich schon seit etwa fünf Jahren.
Gefunden wurde die Sicherheitslücke in der Skype-Desktop-API Mac OS-X, die eine Schnittstelle zu Programmen und Plugins bereitstellt. Diese so genannte Desktop-API ermöglicht es Anwendungen von Drittanbietern mit Skype zu kommunizieren. Forscher des Trustwave SpiderLabs haben nun entdeckt, dass quasi jedes Programm und damit auch Malware eine Authentifizierung und Rückfrage beim Nutzer umgehen kann, wenn es sich als Skype-Dasboard-Widget identifiziert.
Damit besteht in Skype für MAC OS (Versionen, die älter als 7.37 sind) eine Art Backdoor. Da kein Versuch unternommen wird, festzustellen, welche Programme auf die Desktop-API zugreifen und da Nutzer über einen Zugriff nicht informiert werden, können Programme von Drittanbietern, einschließlich Malware, lokal auf dem Computer ausgeführt werden.
Da diese Backdoor aber scheinbar nicht genutzt wird, geht das Team von Trustwave SpiderLabs davon aus, dass es sich bei dieser Hintertür um das Ergebnis eines „Entwicklungsunfalls“ handelt und der Code wahrscheinlich versehentlich bei der Implementierung des Dashboard-Plugins von den Entwicklern hinterlassen wurde. Da der String „Skype Dashbd Wdgt Plugin“ seit etwa fünf Jahren in den Versionen von Skype für Mac OS X vorhanden ist, besteht diese Sicherheitslücke also schon seit etwa fünf Jahren.
Der Zugriff auf die Backdoor ist relativ einfach. Eine einfache Änderung der ‚clientApplicationName‘ NSString-Methode (oder – bei Verwendung der Carbon API – der CFString-Variablen), bei der der Wert auf „Skype Dashbd Wdgt Plugin“ gesetzt werden muss, reicht dafür schon aus.
Auch wenn diese Backdoor bisher anscheinend von Hackern nicht genutzt wurde, empfiehlt das Team von Trustwave SpiderLabs allen Mac-OS-X-Nutzern, sofort eine aktuelle Version von Skype zu installieren.