De kwetsbaarheid is ontdekt door security-onderzoekers van Secure Science Corporation. Omdat de site van Skype een browsersessie tot een half uur na het inloggen gebruikt, hebben kwaadwillenden de mogelijkheid om gebruikers ongemerkt hun account af te troggelen.

Om deze zogenaamde cross-site request forgery (CSRF) aanval te kunnen voltooien, is wel vereist dat gebruikers binnen een half uur na het inloggen op Skype.com doorklikken naar een kwaadaardige website. Zij kunnen hiertoe worden verleid door valse chatberichten die dan linken naar zo'n malicieuze site.

PBX belbotnet

"Momenteel zijn er 15 miljoen gebruikers online. Als slechts 1 procent van de slachtoffers reageert op het phishing-chatbericht, dan zou de phisher 150.000 Skype-accounts buit kunnen maken", schrijven de onderzoekers.

Deze gekaapte accounts kunnen vervolgens relatief eenvoudig worden misbruikt om bijvoorbeeld een gigantisch 'belbotnet' op te zetten met gebruik van een PBX centrale. Zo kunnen met minimale middelen duizenden personen automatisch worden bestookt met opgenomen telefoonboodschappen. Een ander scenario is 'alleen' het afluisteren van chat- en telefoongesprekken van de gekaapte accounts.

Caller ID spoofing

Ook de voip-dienst van Google, Google Voice (voorheen GrandCentral) blijkt kwetsbaar voor accountkaping (pdf). De service is namelijk ook toegankelijk vanaf de mobiele telefoon. Dan volstaat het telefoonnummer van dat toestel als enige authenticatie.

Maar zo'n 'uniek' nummer is zeer eenvoudig te simuleren door zogenaamde Caller ID spoofing, het zich voordoen als een ander (mobiel) telefoonnummer. Deze methode is al jaren bekend en publiekelijk beschikbaar via bijvoorbeeld SpoofCard.com.

Google heeft al actie ondernomen naar aanleiding van de bevindingen van Secure Science. Mobiele gebruikers moeten nu eerst een aparte inlogcode intoetsen voor toegang tot hun voicemail en andere diensten van Google Voice.

VoIP-beveiliging problematisch

Volgens medeoprichter van Secure Science Lance James belichten de gevonden kwetsbaarheden de onvoorziene complexiteit van het koppelen van het 'ouderwetse' telefoniesysteem aan het internet. "Dit bewijst toch wel hoe makkelijk het is om met voip de mist in te gaan", aldus James tegen de IDG Nieuwsdienst.