Opatrně se Skype – Microsoft čte vše, co píšete
22.5.2013 Počítače, komunikace Témata: Počítače 518 slov
Každý, kdo používá Skype, dal společnosti souhlas číst vše, co píše. Kolegové v Heise Security nyní odhalili, že dceřiná společnost Microsoft tuto výhodu v podstatě využívá v praxi. Krátce po odeslání odkazů na šifrované stránky přes službu zpráv Skype si na tyto odkazy kliknulo bez oznámení ústředí Microsoftu v Redmondu.
Čtenář informoval Heise Security, že zjistil nějaký neobvyklý provoz na sítí po konverzaci přes službu zpráv Skypu. Server ukazoval na potenciální útok přehrání. Ukázalo se, že IP adresa, která byla vysledována k Microsoftu, se podívala na tyto odkazy, které byly předtím odeslány přes Skype.
Heise Security pak události reprodukovala tím, že odeslala dva zkušební odkazy, jeden obsahující přihlašovací informace a jeden na soukromou službu sdílení souborů přes cloude. Několik hodin po zprávách na Skypu zpozorovali ve výpisu aktivit serveru následující:65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"
I oni měli návštěvu na každý odkaz HTTPS poslaný přes Skype, z IP adresy registrované na Microsoft v Redmondu. Odkazy na zašifrované internetové stránky často obsahují jedinečné údaje o provozu, nebo další důvěrné informace. Na normální odkazy HTTP nebyl žádný přístup zaznamenán. Při návštěvě těchto stránek použil Microsoft jak přihlašovací informace, tak speciálně vytvořený odkaz pro soukromé služby sdílení souboru na základě oblaku.
V reakci na dotaz Heise Security je Skype odkázal na pasáž ze své politiky ochrany údajů:
„Skype může použít automatizované skenování v rámci Instant Messages a SMS k identifikace podezřelého spamu či k identifikaci URL, který byl dříve označen za spam, podvod nebo odkaz na phishing (rhybaření).“
Mluvčí společnosti potvrdil, že skenují zprávy, aby odfiltrovali spam a phishing. Toto vysvětlení, zdá se, však neodpovídá faktům. Spam a cosi na stránce se obvykle nenachází na HTTPS stránkách. Naopak, Skype ponechává odkazy bez šifrování (protokol http), neobsahující informace o vlastnictví, nedotčené. Skype také posílá hlavičkové žádosti (Header requests), které přenáší pouze administrativní informace související se serverem. Aby stránky prověřil na spam nebo phishing, potřeboval by Skype prozkoumat obsah na stránce ne jen její hlavičku.
V lednu skupiny občanských práv poslaly Microsoftu otevřený dopis, ve kterém se ptaly na bezpečnost komunikace Skype od jeho převzetí. Skupiny stojící za tímto dopisem, ke kterým patřily i Electronic Frontier Foundation a Reporters without Borders, vyjádřily obavy, že restrukturalizace plynoucí z převzetí znamenala, že Skype se musel podvolit americkým zákonům o odposlechu, a proto musel povolit vládním agenturám a tajným službám přístup ke komunikaci Skypu.
V krátkosti, H a Heise Security věří, že po udělení souhlasu Microsoftu s použitím všech dat přenesených přes tuto službu prakticky libovolným způsobem by měli všichni uživatelé Skypu předpokládat, že se tak bude dít a že tato společnost neodhalí, co přesně z těchto dat získává.
Aktualizace 17.5. Přečtěte si poslední vývoj v této věci, kde třetí strany potvrdily nález v tomto článku, ale možné vysvětlení klade více otázek než odpovědí: Skype´s ominous link checking: facts and speculation
Skype with care – Microsoft is reading everything you write vyšel 14. května na h-online.com. Překlad Zvědavec.