Skype-App mit Lücke: So klaut man iPhone-Nutzern das Adressbuch
Aktualisiert

Skype-App mit LückeSo klaut man iPhone-Nutzern das Adressbuch

Wer auf seinem Apple-Smartphone den Internet-Telefondienst Skype nutzt, muss aufpassen. Wie ein US-Forscher zeigt, sind die auf dem Gerät gespeicherten Kontakte nicht sicher.

von
dsc

Apple ist bekannt, ja berüchtigt für die Abschottung des iPhones und seiner anderen Geräte, die mit dem mobilen Betriebssystem iOS laufen. Das Ziel ist klar: Die Nutzer sollen sich ausschliesslich im Apple-eigenen Ökosystem bewegen und ihr Geld wenn möglich auch dort ausgeben.

Für Apple ist das nach aussen abgeschirmte «Ökosystem» sehr lukrativ. Doch auch für die Kunden habe die Abschottung Vorteile, heisst es. Zurecht wird mit der Sicherheit argumentiert. Im Gegensatz etwa zur Android-Konkurrenz (Android Market) sind in Apples «App Store» nur Programme erhältlich, die vorgängig auf Herz und Nieren geprüft wurden.

Beweis bei YouTube

Die Nutzer eines Apple-Smartphones sollten sich trotzdem nicht in falscher Sicherheit wiegen. Dies stellt der US-Sicherheitsforscher Phil Purviance unter Beweis. In einem bei YouTube veröffentlichten «Proof of Concept»-Video zeigt er, wie man einem iPhone-Besitzer das Adressbuch klauen kann. Dazu braucht es nur eine getürkte Chat-Nachricht.

So funktionierts

Damit der Trick funktioniert, muss die Skype-App (Version 3.0.1 oder früher) auf dem Gerät installiert sein. Wie «The Register» berichtet, führt das Gratis-Programm des Internet-Telefonieanbieters nämlich auch den gefährlichen Code (JavaScript) aus, der böswillig in einer Textnachricht platziert wurde.

Es ist nicht der erste Software-Fehler («Bug») in der Skype-App fürs iPhone und den iPod touch. Im Frühjahr hatten Meldungen die Nutzer beunruhigt, wonach ein Angreifer die Kontrolle über ein fremdes Gerät erlangen könne. Alles was es dafür brauchte, war eine Nachricht.

Sicherheitslücke im System

Nun sorgt das iPhone erneut für negative Sicherheits-Schlagzeilen. Laut Demonstration von Phil Purviance kann er durch Ausnützung des Skype-Bugs das Adressbuch des Nutzers stehlen. Sobald der Schadcode auf dem iPhone ausgeführt wurde, stellt das betroffene Gerät eine Verbindung zu einem Server (des Sicherheitsforschers) her und lädt die entsprechende Adress-Datei ungefragt hoch.

Hier zeige sich ein weiteres Sicherheitsproblem, das direkt mit Apple zu tun habe. Die iOS-Entwickler haben nämlich eine gefährliche Hintertür offengelassen. Demnach ist der Inhalt des Adressbuchs für jede auf dem Gerät installierte App verfügbar - nicht nur für die Skype-App. Alles, was es braucht, um die Kontakte zu stehlen, ist also eine Sicherheitslücke in einer der besagten (Dritt-)Apps.

Laut «The Register» war die betroffene Skype-App auch 48 Stunden nach Bekanntwerden der Sicherheitslücke noch im App Store verfügbar. Nun sei es interessant zu schauen, wie lange es gehe, bis Apple und Skype die publik gemachten Probleme lösen.

Skype nimmt Stellung

Auf Anfrage von 20 Minuten Online bestätigt Skype das aufgedeckte Sicherheitsproblem. «Wir arbeiten hart, um die Lücke mit dem nächsten Programm-Update zu schliessen», lässt der Mediensprecher verlauten. Dieses Update werde demnächst veröffentlicht. In der Zwischenzeit mahnt Skype alle Nutzer zur Vorsicht. Es sollten nur Freundschafts-Anfragen von Leuten akzeptiert werden, denen man traue. Ausserdem werden die allgemeinen Vorsichtsmassnahmen bei der Internet-Nutzung in Erinnerung gerufen. Also: Hände weg von unbekannten Inhalten.

Nichts verpassen

Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.

Deine Meinung