Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 54, views: 24.817 •

Het is al anderhalf jaar mogelijk om ongemerkt ip-adressen van Skype-gebruikers te achterhalen, beweren security-onderzoekers. Het is onduidelijk waarom Skype de bug al die tijd niet heeft geplet; mogelijk zijn grote aanpassingen nodig.

Skype-logoDoor een speciale, gepatchte versie van Skype te downloaden en via wijzigingen aan registersleutels de debug-modus aan te zetten, wordt het mogelijk om ip-adressen van andere gebruikers te achterhalen.

Daar hoeft die gebruiker niets van te merken: hij of zij hoeft niet als contact te worden toegevoegd. Om het ip-adres te achterhalen hoeft enkel het profiel van de gebruiker te worden bekeken.

De onderzoekers die het probleem ontdekten, beweren tegenover The Wall Street Journal dat de bug al sinds november 2010 bekend is, maar dat Skype er nog niet in is geslaagd om het probleem op te lossen. Skype zegt tegen de krant het probleem te 'onderzoeken'. Mogelijk zijn de problemen lastig op te lossen omdat ze diep in de code geworteld zijn.

Het achterhalen van ip-adressen is een potentieel privacyprobleem, omdat op basis daarvan ook de locatie van een gebruiker achterhaald kan worden. Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.

Reacties (54)

Lees even goed, deze bug zat er al een anderhalf jaar in, en Microsoft heeft skype nog geen half jaar overgenomen, dus het ligt niet aan microsoft nee... |:(
Zal idd waarschijnlijk niet Microsoft's schuld zijn, maar het is toch al bijna een jaar geleden dat Skype overgenomen is (http://tweakers.net/nieuw...stigt-overname-skype.html).
zo zeg jij bent naief. De overname is sinds 7 okt rond en goedkeuring door de eu was enkele dagen later. dat is inderdaad slecht een aantalmaanden. Nu het interessante. Hoelang waren ze al aan het onderhandelen? ik denk dat het zomaar zou kunnnen zijn dat Skype deze "bug" erinheeft gezet op verzoek van microsoft.
Misschien is het juist aan het licht gekomen, omdat het nu van Microsoft is. Dus is het voor sommigen interessanter om de "problemen" te zoeken. Het is altijd leuk om tegen de schenen van de grote jongens te trappen en dat is ook niet geheel onterecht. Maar dat is echt niet iets wat MS heeft geintroduceerd. Sowieso opereert Skype nog voor een groot deel zelfstandig en is het volledig voor het grootste deel ontwikkelt VOORDAT het van MS was.
"Aan het licht gekomen" - er is onderzoek naar geweest, maar ik had je vorig jaar ook wel kunnen vertellen dat IP-adressen van Skype-gebruikers gewoon op straat lagen. Skype is namelijk een p2p-systeem, en tenzij je een Tor-achtig netwerk wilt krijgen zal dat betekenen dat je het IP-adres nodig hebt van de gebruiker die je probeert te bellen.
Ok, maar dat zou je verwachten als je eenmaal contact gelegd hebt met iemand en hem hebt toegevoegd. Doorgaans moet de ander dan ook nog toestemming geven. Het bericht stelt dat het mogelijk is om adressen te achterhalen zonder dat iemand daar iets van weet, dus puur door te zoeken en profielen te bekijken.

[Reactie gewijzigd door Brentmeister op 2 mei 2012 13:05]

Je hoeft op Skype niet iemand toe te voegen voordat je die persoon kunt bellen. ;)
is het toeval of is dat zo'n beetje sinds Microsoft Skype heeft overgonomen?
Niet direct, al vind ik het wel een 'hele' handige feature. Het lijkt eerder op een hidden feature voor silent observatie. Sinds Skype van Microsoft is werken ze wel steeds vaker samen met 'de diensten' terwijl ze dat voorheen stug weigerde, o.a. met zware 1024-bits encryptie op gesprekken en de P2P netwerktopologie. Wellicht hebben ze op deze manier voorkomen dat Skype verboden zo worden in bepaalde werelddelen (Rusland?) zoals destijds ook gebeurde in India met Blackberry (en Google en Skype?).
Zo gek is de opmerking van Baddo dus nog niet.
Edit: voor hen die het zelf willen proberen, hier de uitleg van de ontdekkers.

[Reactie gewijzigd door Rick2910 op 2 mei 2012 11:29]

Stug weigerde? De "TOM" versie van Skype, die je voor je kiezen krijgt als je vanuit China naar skype.com gaat, bestaat al zeker 5 jaar als het niet meer is. Deze aangepaste versie heeft, behalve extra smilies en toeters en bellen, de encryptie uit staan.

Met de oude Linux client van Skype kon je vroeger zien of je met een TOM versie aan het chatten was. Er verscheen dan een speciaal karakter aan het eind van elk bericht dat er bij normale Skype berichten niet verscheen. (Weet niet of dat een bug of een feature was.)

Als Windows/Mac gebruiker blijf je echter in het ongewisse of je vertrouwelijke gesprek met je leverancier in China wel zo vertrouwelijk is. Als Skype het allemaal zo goed bedoelde hadden ze op z'n minst een icoontje ofzo kunnen gebruiken om het ontbreken van encryptie aan te geven.
TOM is inderdaad een uitzondering, al kun je in het 'About' venster wel direct zien of je Skype TOM hebt of 'de echte' Skype (die overigens prima door de Great Firewall heen komt vanwege de encryptie en P2P met port randomization). Sinds de overname door Microsoft is Skype alleen meer kopjes gaan geven aan Rusland, India en wellicht ook de VS. Deze feature lijkt ook wel heel erg op de 'stealth smsjes' die eveneens regelmatig door 'de diensten' worden gebruikt voor stil schaduwen. Vandaar dat ik de link legde.
en Microsoft heeft direct het doofpot principe toegepast, en de skypopensource op github neer laten halen dmv een DMCA Notice and Takedown:
https://github.com/github...-05-01-microsoft.markdown
Best een vreemde reactie van microsoft aangezien dit iets is wat by design is en zelfs zonder patches te doen is door iemand met basic networking skills bijvoorbeeld door te capturen met wireshark of microsoft's eigen microsoft network monitor en door de logging te bladeren.
nee dit probleem ligt in de opbouw van skype. skype werkt d.m.v. Hybride Peer to peer verbindingen.

wat veel mensen niet (meer) weten is dat skype oorspronkelijk ontwikkeld is door KaZaa

zie dit document voor een uitgebreid verslag over de werking van skype
Skype is a peer-to-peer VoIP client developed by KaZaa [17] that
allows its users to place voice calls and send text messages to
other users of Skype clients. In essence, it is very similar to the
MSN and Yahoo IM applications, as it has capabilities for voicecalls,
instant messaging, audio conferencing, and buddy lists.
However, the underlying protocols and techniques it employs are
quite different.
Like its file sharing predecessor KaZaa, Skype is an overlay peerto-
peer network. There are two types of nodes in this overlay
network, ordinary hosts and super nodes (SN). An ordinary host is
a Skype application that can be used to place voice calls and send
text messages. A super node is an ordinary host’s end-point on the
Skype network. Any node with a public IP address having
sufficient CPU, memory, and network bandwidth is a candidate to
become a super node. An ordinary host must connect to a super
node and must register itself with the Skype login server for a
successful login.
Het vrijgeven van ip-adres via Bittorrent kan toch andere gevolgen hebben dan via Skype? Bij Skype weet je wie de persoon in kwestie is, althans je kan zijn profiel zien. Dit lijkt me dan toch 'erger' dan bij Bittorrent.
Dit lijkt me meer zoals een telefoonboek.
Ik denk dat je wel makkelijk kan combineren: als je gebruikers-data gaat harvesten kan je met behulp van een simpele query een IP adres van een gevonden BT gebruiker die nu net jouw film aan het downloaden is wellicht terugvinden. Dan ben je alweer een stapje verder: je hebt bij je IP-adres een naam en misschien een adres.

Er zal ongetwijfeld al wel iemand/een bedrijf bezig zijn met het loggen en (automatisch) registreren van IP-adressen en namen van Skype gebruikers om ze weer door te verkopen aan BREIN...
Beetje gehuil om niets, je IP adres is niet echt privé. :?

Bij elke website die je bezoekt wordt je IP meegegeven, er zijn zelfs hier users geweest die embedded ava's maken om ip's te harvesten.

[Reactie gewijzigd door Rmg op 2 mei 2012 11:17]

Je IP is niet zozeer privé, maar een overzicht maken waarbij je IP's aan echte mensen weet te koppelen lijkt me privacy gevoelig.
Beetje gehuil om niets, je IP adres is niet echt privé.
Je vergeet dat Skype ook een mobile app heeft die waarschijnlijk op dezelfde manier te pingen is. Als je dan vervolgens ziet dat de user aan de andere kant van de wereld zit, dan weet je ook waar hij niet is: thuis. En dat is weer interessante data voor het dievengilde. Daar zit hem het privacy aspect in dit verhaal.
Zulk soort methodes zie ik wel vaker langenskomen, en het is uiteraard mooi als dit gepatched wordt. Maar tegelijkertijd heb ik zon vermoede dat het dievengilde handigere methodes heeft dan uit te vogelen of iemand skype heeft, en van waar hij inlogt op zijn skype (veel mensen zullen sowieso in het buitenland hun internet uitschakelen).

Ja het kan, maar het is ook extreem vergezocht imo, en het levert nou niet wereldschokkende informatie op waar ze niet een redelijke gok over hadden kunnen doen op een andere manier.
Of mensen geven hun ip-adres uit handen door te browsen naar een website.

Ik mis echt het grote probleem in deze. Uiteraard is het niet wenselijk, maar een groot privacy-probleem is het imo ook niet.
De vergelijking gaat niet helemaal op. Als jij als gebruiker één website bezoekt, heeft de beheerder van deze website jouw IP. Het gaat hier dus om een beperkt aantal personen, en een bewuste actie (het bezoeken van de website).

De kwetsbaarheid waar hier over gesproken wordt, is een stuk "erger". Immers: elke willekeurige persoon met de betreffende Skype-variant, kan elke willekeurige Skype-gebruiker achterhalen, zonder dat hij/zij hier ook maar iets voor hoeft te doen, of aan kan doen.

Je kunt je sowieso blijven afvragen hoe groot het uitlekken van een IP is, maar dat terzijde.

Edit: stukje herschreven in wat beter Nederlands ;)

[Reactie gewijzigd door Eagle Creek op 2 mei 2012 11:32]

Het verschil is de verwachting die je bij een bepaalde dienst hebt.

Zo verwacht ik dat mijn verzekeringsmaatschappij zorgvuldiger met mijn gegevens omgaat dan het online winkeltje die mijn nieuwe wasmachine thuis komt brengen. Als vervolgens blijkt dat het juist de verzekeringsmaatschappij is die mijn gegevens loopt te lekken is dat teleurstellend.
Het gaat hier om de combinatie van een IP met een identiteit, dat is het probleem.
Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.
Bij BitTorrent weet je nog niet de naam van deze persoon, alleen een locatie en wat hij download. Hier heb je alle gegevens, Het is bijna latitude op je telefoon.
Aan de andere kant gebruiken steeds meer gebruikers Skype op een mobieltje en dan is het IP adres vaak van een provider access point of een willekeurig wifi netwerkje.
Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.
En het zelfde doen ze met Social Networks, en allebei is een eigen keuze.


Maar het is wel kwalijk dat het IP adres van Skype gebruikers gewoon in principe mee gestuurd wordt als je het profiel bekijkt, zou niet weten voor welke functionaliteit dat in godsnaam mogelijk zou moeten zijn. En dat ze hier al anderhalf jaar van op de hoogte waren maakt het alleen maar erger.

Het is gelukkig niet een grote ramp als ze je IP achterhalen, maar het is toch niet netjes/fijn. Gelukkig heeft een groot deel van de consumenten tegenwoordig een Dynamic IP.
Je kan zelfs met een simpele netstat IP-Adressen via skype achterhalen..
Ja, zoals dat ook met MSN, Yahoo, etc kan.

Bron: http://hackation.blogspot...of-your-friend-while.html

Verschil is dat dit door jezelf geďnitieerde verbindingen zijn (skype gesprek met een bekende, msn chat met een bekende etc). Terwijl met de exploit in het artikel je het IP van iedereen die een Skype profiel heeft kunt opvragen.

Dat is best een groot privacy lek.

[Reactie gewijzigd door chaozz op 2 mei 2012 11:25]

dat doe je dan tijdens een gesprek, hierbij gaat het erom dat je alleen maar het profiel hoeft op te vragen.
Ik me niet in denken dat mensen dit heel erg zullen vinden, zoals gezegd geven mensen hun IP weg bij het gebruiken van torrents. Als je een website bezoekt is je IP ook gewoon zichtbaar of dat nu een groot probleem is?

ik zie het meer als een telefoon nummer: Veel vaste nummers staan ook gewoon vermeld in een telefoongids, met soms naam en adres. Je kunt er dan voor kiezen om die niet te laten vermelden, op die manier kun je ook gewoon geen gebruik maken van skype, of je doet dan weer via VPN...

Als je ( bij mij in ieder geval ) mijn ip aan een locatie koppelt kom je in een verkeerde wijk terecht, soms zelfs in de verkeerde stad.

En dan ook nog dit: veel IP's zijn dynamisch en wordt NAT heel erg veel gebruikt, zeker met al die draadloze modems die je tegenwoordig hebt.

kan er als skype gebruiker totaal niet mee zitten.
Ik vind dit nogal storm in een glas water, goed dat T.net het bericht nuanceert in de laatste regels. Met ongeveer alles wat je doet op internet laat je je IP-adres achter. Vroeger kon je ook het IP-adres van gebruikers aflezen als ze chatprogramma's als ICQ of MSN gebruikten (met Trillian kon dat voor zover ik weet). Bovendien vind je niet het adres van de gebruiker, maar hoogstens de straat*.

Overigens snap ik niet zo waarom je zelfs als ik offline ben nog mijn IP kunt achterhalen. Dat zou toch nergens voor nodig moeten zijn, zou je zeggen. Mijn profiel wordt als het goed is opgeslagen op de servers van Skype, niet bij mij lokaal.

* Het IP-adres van mijn werk komt zelfs totaal aan de verkeerde kant van Nederland uit (Amsterdam ipv Hengelo OV) 8)7
Op internet wordt met IP adressen gewerkt om verbinding te kunnen maken. Ik vind het niet echt een big deal als je kan zien met wie je bent verbonden. Het zelfde gebeurd met e-mail, IRC, online games (als je de server beheerd), ... . Sommige mensen kunnen ook overdrijven als het om veiligheid of privacy gaat.
Het gaat niet om de persoon waar jij je mee verbind, maar om IEDEREEN die op Skype zit.

Celebrities, dissidenten, etc. waarvan de username bekend is kan je dus zo het profiel van opzoeken en hun IP adres achterhalen. Je weet dan ook meteen waar ze zich ongeveer bevinden. Dat kan best vervelend zijn. Vooral als je bedenkt dat IP adressen van hotel's etc. vaak erg makkelijk te achterhalen zijn.
maar dat risico lopen ze soiso als ze verbindingen gebruiken welke duidelijk te traceren zijn door bedrijfsnamen in het domein, ip adres geregistreerd door bedijf in de directe omgeving of uberhaubt een verbinding welke ze niet zelf beheren.

de oplossing is dan ook om een een proxy server,(ssl) vpn, remote desktop, tor of andere methode om een internet verbinding op een andere locatie te gebruiken.

Op dit item kan niet meer gereageerd worden.



Populair: Apple iPhone 6 iPhone Apple iPhone 6 Plus Smartphones Laptops Microsoft Games Apple Activision Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013