Microsoft heeft een beveiligingslek in de populaire voip-applicatie Skype gepatcht waardoor het mogelijk was om phishingaanvallen op gebruikers uit te voeren, voornamelijk wanneer Skype op openbare computers zoals bibliotheekcomputers of informatiekiosken werd aangeboden. Dat meldt beveiligingsonderzoeker Zacharis Alexandros.

De kwetsbaarheid deed zich voor wanneer een aanvaller lokale toegang tot het inlogvenster van Skype had. Iets wat bij normaal thuisgebruik niet zo snel zal voorkomen, maar wel een mogelijkheid is bij openbare computers, zoals bibliotheken, informatiekiosken en computers op vliegvelden en treinstations. Deze computers bieden gebruikers veelal een select aantal applicaties aan, waaronder Skype.

Om op Skype in te loggen kunnen gebruikers hun Skype-account gebruiken of inloggen via Facebook. De aanval van Alexandros maakt gebruik van het feit dat Skype voor de authenticatie een embedded versie van Internet Explorer gebruikt. Een aanvaller kon dit normale authenticatieproces omzeilen en de inlogfunctie via Facebook voor allerlei aanvallen gebruiken. Hoe de aanval precies werkt laat de onderzoeker niet weten, maar hij stelt dat via het inloggen via Facebook het mogelijk was om binnen het Skype-proces een phishingpagina te laden. Als gebruikers vervolgens op deze pagina hadden ingelogd zouden hun gegevens naar de aanvaller zijn teruggestuurd.

Ook kon Skype als verborgen browser worden gebruikt om toetsaanslagen of zelfs geluidsopnamen naar een aanvaller terug te sturen. In het geval een aanvaller over een exploit voor Internet Explorer zou beschikken was het via de aanval zelfs mogelijk geweest om willekeurige code uit te voeren. Alexandros waarschuwde Microsoft eind januari. Eind maart werd het probleem gepatcht. Beveiligingsexperts waarschuwen al geruime tijd om geen persoonlijke zaken op openbare computers uit te voeren, zoals het inloggen op privé-accounts.