Onderzoekers: ip-adressen Skype-gebruikers liggen op straat

Het is al anderhalf jaar mogelijk om ongemerkt ip-adressen van Skype-gebruikers te achterhalen, beweren security-onderzoekers. Het is onduidelijk waarom Skype de bug al die tijd niet heeft geplet; mogelijk zijn grote aanpassingen nodig.

Skype-logoDoor een speciale, gepatchte versie van Skype te downloaden en via wijzigingen aan registersleutels de debug-modus aan te zetten, wordt het mogelijk om ip-adressen van andere gebruikers te achterhalen.

Daar hoeft die gebruiker niets van te merken: hij of zij hoeft niet als contact te worden toegevoegd. Om het ip-adres te achterhalen hoeft enkel het profiel van de gebruiker te worden bekeken.

De onderzoekers die het probleem ontdekten, beweren tegenover The Wall Street Journal dat de bug al sinds november 2010 bekend is, maar dat Skype er nog niet in is geslaagd om het probleem op te lossen. Skype zegt tegen de krant het probleem te 'onderzoeken'. Mogelijk zijn de problemen lastig op te lossen omdat ze diep in de code geworteld zijn.

Het achterhalen van ip-adressen is een potentieel privacyprobleem, omdat op basis daarvan ook de locatie van een gebruiker achterhaald kan worden. Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.

Door Joost Schellevis

Redacteur

Feedback • 02-05-2012 11:12 54

02-05-2012 • 11:12

54

Lees meer

Onderzoekers verbergen berichten in Skype-stiltes
Onderzoekers verbergen berichten in Skype-stiltes Nieuws van 7 januari 2013
'Skype verstrekte gebruikersdata zonder vordering'
'Skype verstrekte gebruikersdata zonder vordering' Nieuws van 4 november 2012
Skype wil klanten credits laten betalen via telefoonrekening
Skype wil klanten credits laten betalen via telefoonrekening Nieuws van 6 september 2012
Screenshots tonen Windows 8-versie Skype
Screenshots tonen Windows 8-versie Skype Nieuws van 17 augustus 2012
Skype stopt met bundelen Google-software
Skype stopt met bundelen Google-software Nieuws van 17 oktober 2011
Skype geeft gedetailleerde uitleg over recente uitval
Skype geeft gedetailleerde uitleg over recente uitval Nieuws van 30 december 2010
Grote storing Skype zo goed als voorbij
Grote storing Skype zo goed als voorbij Nieuws van 24 december 2010
'Microsoft al maanden geleden geïnformeerd over lekken'
'Microsoft al maanden geleden geïnformeerd over lekken' Nieuws van 24 augustus 2010
Meer producten en artikelen
Privacy Skype Beveiliging Bugs

Reacties (54)

-Moderatie-faq
54
52
37
4
0
10
Wijzig sortering
Steffannnn 2 mei 2012 11:26
Een gepatchte skype is helemaal niet nodig ( oeps, een aangepaste SkypeKit, een "headless" versie van Skype, is wel nodig.) . Daar hadden we skype-ip-finder.tk voor (helaas offline gehaald). De achterliggende python-code staat inmiddels op github: https://github.com/zhovner/Skype-iplookup/

Gebruikersnaam invullen en je krijgt een IP-adres terug...

[Reactie gewijzigd door Steffannnn op 22 juli 2024 13:20]

TDeK
@Baddo2 mei 2012 11:26
is het toeval of is dat zo'n beetje sinds Microsoft Skype heeft overgonomen?
Niet direct, al vind ik het wel een 'hele' handige feature. Het lijkt eerder op een hidden feature voor silent observatie. Sinds Skype van Microsoft is werken ze wel steeds vaker samen met 'de diensten' terwijl ze dat voorheen stug weigerde, o.a. met zware 1024-bits encryptie op gesprekken en de P2P netwerktopologie. Wellicht hebben ze op deze manier voorkomen dat Skype verboden zo worden in bepaalde werelddelen (Rusland?) zoals destijds ook gebeurde in India met Blackberry (en Google en Skype?).
Zo gek is de opmerking van Baddo dus nog niet.
Edit: voor hen die het zelf willen proberen, hier de uitleg van de ontdekkers.

[Reactie gewijzigd door TDeK op 22 juli 2024 13:20]

Anoniem: 445817 @TDeK2 mei 2012 11:35
Stug weigerde? De "TOM" versie van Skype, die je voor je kiezen krijgt als je vanuit China naar skype.com gaat, bestaat al zeker 5 jaar als het niet meer is. Deze aangepaste versie heeft, behalve extra smilies en toeters en bellen, de encryptie uit staan.

Met de oude Linux client van Skype kon je vroeger zien of je met een TOM versie aan het chatten was. Er verscheen dan een speciaal karakter aan het eind van elk bericht dat er bij normale Skype berichten niet verscheen. (Weet niet of dat een bug of een feature was.)

Als Windows/Mac gebruiker blijf je echter in het ongewisse of je vertrouwelijke gesprek met je leverancier in China wel zo vertrouwelijk is. Als Skype het allemaal zo goed bedoelde hadden ze op z'n minst een icoontje ofzo kunnen gebruiken om het ontbreken van encryptie aan te geven.
TDeK
@Anoniem: 4458172 mei 2012 11:55
TOM is inderdaad een uitzondering, al kun je in het 'About' venster wel direct zien of je Skype TOM hebt of 'de echte' Skype (die overigens prima door de Great Firewall heen komt vanwege de encryptie en P2P met port randomization). Sinds de overname door Microsoft is Skype alleen meer kopjes gaan geven aan Rusland, India en wellicht ook de VS. Deze feature lijkt ook wel heel erg op de 'stealth smsjes' die eveneens regelmatig door 'de diensten' worden gebruikt voor stil schaduwen. Vandaar dat ik de link legde.
MMaI @TDeK2 mei 2012 13:03
en Microsoft heeft direct het doofpot principe toegepast, en de skypopensource op github neer laten halen dmv een DMCA Notice and Takedown:
https://github.com/github...-05-01-microsoft.markdown
fvdberg @MMaI2 mei 2012 16:06
Best een vreemde reactie van microsoft aangezien dit iets is wat by design is en zelfs zonder patches te doen is door iemand met basic networking skills bijvoorbeeld door te capturen met wireshark of microsoft's eigen microsoft network monitor en door de logging te bladeren.
fvdberg @Baddo2 mei 2012 11:58
nee dit probleem ligt in de opbouw van skype. skype werkt d.m.v. Hybride Peer to peer verbindingen.

wat veel mensen niet (meer) weten is dat skype oorspronkelijk ontwikkeld is door KaZaa

zie dit document voor een uitgebreid verslag over de werking van skype
Skype is a peer-to-peer VoIP client developed by KaZaa [17] that
allows its users to place voice calls and send text messages to
other users of Skype clients. In essence, it is very similar to the
MSN and Yahoo IM applications, as it has capabilities for voicecalls,
instant messaging, audio conferencing, and buddy lists.
However, the underlying protocols and techniques it employs are
quite different.
Like its file sharing predecessor KaZaa, Skype is an overlay peerto-
peer network. There are two types of nodes in this overlay
network, ordinary hosts and super nodes (SN). An ordinary host is
a Skype application that can be used to place voice calls and send
text messages. A super node is an ordinary host’s end-point on the
Skype network. Any node with a public IP address having
sufficient CPU, memory, and network bandwidth is a candidate to
become a super node. An ordinary host must connect to a super
node and must register itself with the Skype login server for a
successful login.
Hann1BaL @Baddo2 mei 2012 11:18
Misschien is het juist aan het licht gekomen, omdat het nu van Microsoft is. Dus is het voor sommigen interessanter om de "problemen" te zoeken. Het is altijd leuk om tegen de schenen van de grote jongens te trappen en dat is ook niet geheel onterecht. Maar dat is echt niet iets wat MS heeft geintroduceerd. Sowieso opereert Skype nog voor een groot deel zelfstandig en is het volledig voor het grootste deel ontwikkelt VOORDAT het van MS was.
TvdW @Hann1BaL2 mei 2012 12:46
"Aan het licht gekomen" - er is onderzoek naar geweest, maar ik had je vorig jaar ook wel kunnen vertellen dat IP-adressen van Skype-gebruikers gewoon op straat lagen. Skype is namelijk een p2p-systeem, en tenzij je een Tor-achtig netwerk wilt krijgen zal dat betekenen dat je het IP-adres nodig hebt van de gebruiker die je probeert te bellen.
Anoniem: 160136 @TvdW2 mei 2012 13:05
Ok, maar dat zou je verwachten als je eenmaal contact gelegd hebt met iemand en hem hebt toegevoegd. Doorgaans moet de ander dan ook nog toestemming geven. Het bericht stelt dat het mogelijk is om adressen te achterhalen zonder dat iemand daar iets van weet, dus puur door te zoeken en profielen te bekijken.

[Reactie gewijzigd door Anoniem: 160136 op 22 juli 2024 13:20]

TvdW @Anoniem: 1601362 mei 2012 23:19
Je hoeft op Skype niet iemand toe te voegen voordat je die persoon kunt bellen. ;)
IIsnickerII @Baddo2 mei 2012 11:18
Lees even goed, deze bug zat er al een anderhalf jaar in, en Microsoft heeft skype nog geen half jaar overgenomen, dus het ligt niet aan microsoft nee... |:(
ClementL @IIsnickerII2 mei 2012 23:05
Zal idd waarschijnlijk niet Microsoft's schuld zijn, maar het is toch al bijna een jaar geleden dat Skype overgenomen is (http://tweakers.net/nieuw...stigt-overname-skype.html).
Baddo @IIsnickerII3 mei 2012 12:30
zo zeg jij bent naief. De overname is sinds 7 okt rond en goedkeuring door de eu was enkele dagen later. dat is inderdaad slecht een aantalmaanden. Nu het interessante. Hoelang waren ze al aan het onderhandelen? ik denk dat het zomaar zou kunnnen zijn dat Skype deze "bug" erinheeft gezet op verzoek van microsoft.
Rmg 2 mei 2012 11:16
Beetje gehuil om niets, je IP adres is niet echt privé. :?

Bij elke website die je bezoekt wordt je IP meegegeven, er zijn zelfs hier users geweest die embedded ava's maken om ip's te harvesten.

[Reactie gewijzigd door Rmg op 22 juli 2024 13:20]

TDeK
@Rmg2 mei 2012 11:57
Beetje gehuil om niets, je IP adres is niet echt privé.
Je vergeet dat Skype ook een mobile app heeft die waarschijnlijk op dezelfde manier te pingen is. Als je dan vervolgens ziet dat de user aan de andere kant van de wereld zit, dan weet je ook waar hij niet is: thuis. En dat is weer interessante data voor het dievengilde. Daar zit hem het privacy aspect in dit verhaal.
Sissors @TDeK2 mei 2012 12:46
Zulk soort methodes zie ik wel vaker langenskomen, en het is uiteraard mooi als dit gepatched wordt. Maar tegelijkertijd heb ik zon vermoede dat het dievengilde handigere methodes heeft dan uit te vogelen of iemand skype heeft, en van waar hij inlogt op zijn skype (veel mensen zullen sowieso in het buitenland hun internet uitschakelen).

Ja het kan, maar het is ook extreem vergezocht imo, en het levert nou niet wereldschokkende informatie op waar ze niet een redelijke gok over hadden kunnen doen op een andere manier.
tedades @Rmg2 mei 2012 11:47
Je IP is niet zozeer privé, maar een overzicht maken waarbij je IP's aan echte mensen weet te koppelen lijkt me privacy gevoelig.
Hooglander1 2 mei 2012 11:16
Of mensen geven hun ip-adres uit handen door te browsen naar een website.

Ik mis echt het grote probleem in deze. Uiteraard is het niet wenselijk, maar een groot privacy-probleem is het imo ook niet.
Eagle Creek @Hooglander12 mei 2012 11:21
De vergelijking gaat niet helemaal op. Als jij als gebruiker één website bezoekt, heeft de beheerder van deze website jouw IP. Het gaat hier dus om een beperkt aantal personen, en een bewuste actie (het bezoeken van de website).

De kwetsbaarheid waar hier over gesproken wordt, is een stuk "erger". Immers: elke willekeurige persoon met de betreffende Skype-variant, kan elke willekeurige Skype-gebruiker achterhalen, zonder dat hij/zij hier ook maar iets voor hoeft te doen, of aan kan doen.

Je kunt je sowieso blijven afvragen hoe groot het uitlekken van een IP is, maar dat terzijde.

Edit: stukje herschreven in wat beter Nederlands ;)

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 13:20]

Anoniem: 445817 @Hooglander12 mei 2012 11:46
Het verschil is de verwachting die je bij een bepaalde dienst hebt.

Zo verwacht ik dat mijn verzekeringsmaatschappij zorgvuldiger met mijn gegevens omgaat dan het online winkeltje die mijn nieuwe wasmachine thuis komt brengen. Als vervolgens blijkt dat het juist de verzekeringsmaatschappij is die mijn gegevens loopt te lekken is dat teleurstellend.
Obelink @Hooglander12 mei 2012 13:03
Het gaat hier om de combinatie van een IP met een identiteit, dat is het probleem.
freakolivier 2 mei 2012 11:21
Je kan zelfs met een simpele netstat IP-Adressen via skype achterhalen..
chaozz @freakolivier2 mei 2012 11:23
Ja, zoals dat ook met MSN, Yahoo, etc kan.

Bron: http://hackation.blogspot...of-your-friend-while.html

Verschil is dat dit door jezelf geïnitieerde verbindingen zijn (skype gesprek met een bekende, msn chat met een bekende etc). Terwijl met de exploit in het artikel je het IP van iedereen die een Skype profiel heeft kunt opvragen.

Dat is best een groot privacy lek.

[Reactie gewijzigd door chaozz op 22 juli 2024 13:20]

Kaasbroodje @freakolivier2 mei 2012 11:25
dat doe je dan tijdens een gesprek, hierbij gaat het erom dat je alleen maar het profiel hoeft op te vragen.
argon 2 mei 2012 11:15
Het vrijgeven van ip-adres via Bittorrent kan toch andere gevolgen hebben dan via Skype? Bij Skype weet je wie de persoon in kwestie is, althans je kan zijn profiel zien. Dit lijkt me dan toch 'erger' dan bij Bittorrent.
Anoniem: 80466 @argon2 mei 2012 11:20
Dit lijkt me meer zoals een telefoonboek.
Ramoncito @argon2 mei 2012 15:09
Ik denk dat je wel makkelijk kan combineren: als je gebruikers-data gaat harvesten kan je met behulp van een simpele query een IP adres van een gevonden BT gebruiker die nu net jouw film aan het downloaden is wellicht terugvinden. Dan ben je alweer een stapje verder: je hebt bij je IP-adres een naam en misschien een adres.

Er zal ongetwijfeld al wel iemand/een bedrijf bezig zijn met het loggen en (automatisch) registreren van IP-adressen en namen van Skype gebruikers om ze weer door te verkopen aan BREIN...
lukjah 2 mei 2012 11:17
Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.
Bij BitTorrent weet je nog niet de naam van deze persoon, alleen een locatie en wat hij download. Hier heb je alle gegevens, Het is bijna latitude op je telefoon.
Anoniem: 80466 @lukjah2 mei 2012 11:25
Aan de andere kant gebruiken steeds meer gebruikers Skype op een mobieltje en dan is het IP adres vaak van een provider access point of een willekeurig wifi netwerkje.
kamerplant 2 mei 2012 11:24
Op internet wordt met IP adressen gewerkt om verbinding te kunnen maken. Ik vind het niet echt een big deal als je kan zien met wie je bent verbonden. Het zelfde gebeurd met e-mail, IRC, online games (als je de server beheerd), ... . Sommige mensen kunnen ook overdrijven als het om veiligheid of privacy gaat.
Anoniem: 445817 @kamerplant2 mei 2012 11:53
Het gaat niet om de persoon waar jij je mee verbind, maar om IEDEREEN die op Skype zit.

Celebrities, dissidenten, etc. waarvan de username bekend is kan je dus zo het profiel van opzoeken en hun IP adres achterhalen. Je weet dan ook meteen waar ze zich ongeveer bevinden. Dat kan best vervelend zijn. Vooral als je bedenkt dat IP adressen van hotel's etc. vaak erg makkelijk te achterhalen zijn.
fvdberg @Anoniem: 4458172 mei 2012 15:53
maar dat risico lopen ze soiso als ze verbindingen gebruiken welke duidelijk te traceren zijn door bedrijfsnamen in het domein, ip adres geregistreerd door bedijf in de directe omgeving of uberhaubt een verbinding welke ze niet zelf beheren.

de oplossing is dan ook om een een proxy server,(ssl) vpn, remote desktop, tor of andere methode om een internet verbinding op een andere locatie te gebruiken.
Hatsjoe 2 mei 2012 11:18
Aan de andere kant geven veel gebruikers hun privé-adres ook uit handen door bijvoorbeeld BitTorrent te gebruiken.
En het zelfde doen ze met Social Networks, en allebei is een eigen keuze.


Maar het is wel kwalijk dat het IP adres van Skype gebruikers gewoon in principe mee gestuurd wordt als je het profiel bekijkt, zou niet weten voor welke functionaliteit dat in godsnaam mogelijk zou moeten zijn. En dat ze hier al anderhalf jaar van op de hoogte waren maakt het alleen maar erger.

Het is gelukkig niet een grote ramp als ze je IP achterhalen, maar het is toch niet netjes/fijn. Gelukkig heeft een groot deel van de consumenten tegenwoordig een Dynamic IP.
Kaasbroodje 2 mei 2012 11:22
Ik me niet in denken dat mensen dit heel erg zullen vinden, zoals gezegd geven mensen hun IP weg bij het gebruiken van torrents. Als je een website bezoekt is je IP ook gewoon zichtbaar of dat nu een groot probleem is?

ik zie het meer als een telefoon nummer: Veel vaste nummers staan ook gewoon vermeld in een telefoongids, met soms naam en adres. Je kunt er dan voor kiezen om die niet te laten vermelden, op die manier kun je ook gewoon geen gebruik maken van skype, of je doet dan weer via VPN...

Als je ( bij mij in ieder geval ) mijn ip aan een locatie koppelt kom je in een verkeerde wijk terecht, soms zelfs in de verkeerde stad.

En dan ook nog dit: veel IP's zijn dynamisch en wordt NAT heel erg veel gebruikt, zeker met al die draadloze modems die je tegenwoordig hebt.

kan er als skype gebruiker totaal niet mee zitten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq