mboost-dp1

Skype

Microsoft kan læse dine private beskeder over Skype

- Via The H Security - , redigeret af Pernicious , indsendt af arne_v

Skype har flere gange været diskuteret i medierne, blandt andet over den usikre fremtid da Microsoft valgte at købe det. Der har også været tvivl om hvorvidt sikkerheden forblev den samme under Microsofts styring, da det amerikanske forbundspoliti gerne ville kunne aflytte brugerne. Det kan den tyske sikkerhedsgruppe Heise Security nu give et indblik i.

De har set tegn på, at Microsoft ser med i de samtaler som foregår over skype. Deres undersøgelse startede ved en henvendelse fra en bruger, som havde undret sig over mistænkeligt trafik på sit netværk. En ip-adresse, som viste sig at stamme fra Microsoft i Redmond, havde nemlig forsøgt at tilgå en https-url, som han netop havde sendt til en bekendt. Https bruges til at sende krypteret information, og indholdet vil derfor typisk være langt mere følsomt, end materiale brugt under http.

Folkene hos heise security prøvede derefter at efterligne forsøget på skype-chatten, ved at sende flere adresser til hinanden. Resultatet var det samme, hvor de kort tid efter kunne aflæse trafik fra en Microsoft-adresse i deres log. I forsøget indgik private mapper hos en cloud-tjeneste, som ellers ikke ville kunne tilgås med andet end dette link, hvilket kunne indeholde ganske følsomme data.

Microsoft forklarer dette med, at deres systemer kan læse beskeder igennem for at modvirke spam, og ellers tjekke udvalgte adresser, som har været mærket som kilder for spam eller skadelige hjemmesider. Derudover kan Skype i nogle tilfælde fremkalde tidligere logs, så medarbejdere manuelt kan gemmegå samtalen for ondsindede hensigter, uanset om det er chat eller sms.

Hos heise security undrer man sig dog over, hvorfor Microsoft i den forbindelse kun tjekker https og ikke http-adresser.





Gå til bund
Gravatar #1 - Remmerboy
16. maj 2013 11:13
MS bestemmer også om du må have et billede af en kravlenisse der viser bare røv.
Gravatar #2 - Mort
16. maj 2013 11:14
Remmerboy (1) skrev:
MS bestemmer også om du må have et billede af en kravlenisse der viser bare røv, på Skydrive.


FYP
Gravatar #3 - mfriis
16. maj 2013 11:17
Nej, de har ikke forsøgt at tilgå en url. Det ville udmynte sig i et HTTP GET kald. Det Heise Security har set er et HTTP HEAD.

SmartScreen som MS anvender: http://blogs.windows.com/windows_live/b/windowsliv...


Hele forsøget er udført på et meget spinkelt grundlag.

Kilde: http://www.zdnet.com/is-microsoft-reading-your-sky...
Gravatar #4 - merdistaneren
16. maj 2013 11:19
Microsoft scanner bare for phising og spam, intet galt i det de gør.
Gravatar #5 - el_barto
16. maj 2013 11:34
merdistaneren (4) skrev:
Microsoft scanner bare for phising og spam, intet galt i det de gør.

Er det derfor de ikke besøger http, men kun https-adresser? Næppe... I smell a rat.
Gravatar #6 - CableCat
16. maj 2013 11:43
#3 Hovedsagen er at Skype ikke har end-to-end kryptering.
Gravatar #7 - sg17a
16. maj 2013 11:46
Et issue er vel at man begynder at modtage reklamer som er relateret til de samtaler man har over skype (Lync og alle andre kommunikation).

Rettet (jf. #8)
Gravatar #8 - Magten
16. maj 2013 11:50
sg17a (7) skrev:
Et issue er vel at man begynder at modtage reklamer som er relateret til de samtaler man har over skype (Lynx og alle andre kommunikation).
Gør man da det?

Og mener du Lync?
Gravatar #9 - SAN
16. maj 2013 11:55
De kigger dig i kortene for at hjælpe dig!! Bare rolig.

Måske de bare skulle lade være med at kigge folk i kortene overhovedet, eller have det som noget man kunne slå til eller fra. Jeg vil i hvert fald hellere være fri for at de kigger med, uanset deres motiv.

Heldigvis er der jo mange andre VOIP klienter, det er bare ikke altid lige nemt at få de mindre teknologiinteresserede personer med over på dem.
Gravatar #10 - mega2507
16. maj 2013 12:01
#9 Har du nogen gode foreslag til noget software der har chat kanaler med backlog ligesom Skype har det, for så er jeg da frisk på at prøve noget nyt?
Gravatar #11 - csstener(^,^)
16. maj 2013 12:09
#10
jeg bruger denne ud over skype: http://www.razerzone.com/comms
men det er dog mest til gaming
Gravatar #12 - Hubert
16. maj 2013 12:19
mega2507 (10) skrev:
#9 Har du nogen gode foreslag til noget software der har chat kanaler med backlog ligesom Skype har det, for så er jeg da frisk på at prøve noget nyt?


Brug en de af mange irc klienter
Gravatar #13 - TormDK
16. maj 2013 12:21
#7 Det er ikke lykkedes mig at se nogle reklamer på Skype ud over den for Skype Credits / Premium.

Jeg bruger dog kun Skype som jeg brugte Messenger, dvs ikke nogen kald.
Gravatar #14 - SAN
16. maj 2013 12:24
#12 Lige hvad jeg skulle til at skrive.

Til VOIP buger jeg linphone med en ekiga.net adresse (og skype, man skal heller ikke være fanatisk ;-P)

# 13 der er reklamer i Windowsklienten når man laver opkald.
Gravatar #15 - Nåkja
16. maj 2013 12:31
Stoler du ikke på MS, så lad være med at bruge deres beskedservices. Det kan også siges om Google, Yahoo osv.
Gravatar #16 - SAN
16. maj 2013 12:42
#15
Problemet er at Skype nærmest er blevet de facto standard for VOIP og video opkald før MS overtog det, og dermed kan det være problematisk at komme i kontakt med folk hvis man nægter at bruge Skype, ligesom at det kan være svært helt at undgå kontakt med Windows, hvis f.eks. ens arbejdsplads anvender Windows.
Gravatar #17 - Nåkja
16. maj 2013 12:44
SAN (16) skrev:
Problemet er at Skype nærmest er blevet de facto standard for VOIP og video opkald før MS overtog det,


Det er jo et ret almindeligt problem. Også indenfor almindelig telefoni og gammeldags emails. Skal du sende følsomme oplysninger, så krypter det selv,
Gravatar #18 - SAN
16. maj 2013 12:47
Det er jeg udemærket klar over, at man bør, ikke desto mindre synes jeg stadigt det er en fair kritik at rette mod MS.
Gravatar #19 - Nåkja
16. maj 2013 12:51
SAN (18) skrev:
Det er jeg udemærket klar over, at man bør, ikke desto mindre synes jeg stadigt det er en fair kritik at rette mod MS.


Tjah, hvis de misbruger det, og logger hvad du skriver, er det et problem.
Gravatar #20 - Vandmand
16. maj 2013 13:26
Jeg synes ærlig talt ikke det er fair af MS at de logger mine samtaler, og så ikke engang gider dele dem med mig.

Hvorfor kan jeg ikke se mine gamle Skype samtaler (tidligere Skype installationer) hvis de alligevel logger dem?
Gravatar #21 - HerrMansen
16. maj 2013 13:26
"Firma kan se dine data som køres igennem deres systemer"

Er man egentlig overrasket? Really?
Gravatar #22 - gramps
16. maj 2013 13:31
#21
Ja. Man kan sagtens lave et system, hvor data ikke er læsbart for den service data kører igennem. Se f.eks. på LastPass.
Gravatar #23 - gramps
16. maj 2013 13:31
Har Microsoft lige Scroogled deres kunder?
Gravatar #24 - mega2507
16. maj 2013 13:33
#12 Har også brugt IRC (mIRC) i rigtigt mange år, men syntes bare det er bøvlet at man skal sætte BNC op for at få backlog, modsat skype hvor man bare får backlog fra de andre klienter når man connecter, jeg bruger også voice delen ret meget i skype, så ville være rart med en klient til begge dele, med samme backlog funktioner som Skype, jeg tror bare ikke der findes EN klient der kan det.
Gravatar #25 - Nåkja
16. maj 2013 13:35
gramps (22) skrev:
Ja. Man kan sagtens lave et system, hvor data ikke er læsbart for den service data kører igennem. Se f.eks. på LastPass.


Og samtidigt forebygge spam?
Gravatar #26 - Saxov
16. maj 2013 13:39
SAN (14) skrev:
# 13 der er reklamer i Windowsklienten når man laver opkald.

Har du overvejet at slå reklamer fra ?

Funktioner -> Indstillinger -> Meddelelser -> Beskeder og Meddelelser
Uncheck "Vis besked om Kampagner".

Genstart Skype (a.k.a. luk Skype helt ned og start op igen, ikke bare log af og på)
Gravatar #27 - Nåkja
16. maj 2013 13:41
Vandmand (20) skrev:
Hvorfor kan jeg ikke se mine gamle Skype samtaler (tidligere Skype installationer) hvis de alligevel logger dem?


Hvad nu hvis en anden gætter din kode?
Gravatar #28 - TormDK
16. maj 2013 13:41
#20 det gør de heller ikke.

#23 Nej. Deres Privacy policy har jo stået hvor de er i meget lang tid. Der er intet nyt under solen, ud over et eller andet sikkerhedsfirma der mener de skal have deres 15 minutes of fame.
Gravatar #29 - gramps
16. maj 2013 13:42
478907111414718754684 (25) skrev:
Og samtidigt forebygge spam?


Du kan ikke få begge dele. Fuld kryptering gør at selv spam kommer igennem.
Gravatar #30 - Nåkja
16. maj 2013 13:45
gramps (29) skrev:
478907111414718754684 (25) skrev:
Og samtidigt forebygge spam?


Du kan ikke få begge dele. Fuld kryptering gør at selv spam kommer igennem.

Præcis min pointe. Messenger havde store problemer med spam. Jeg kan godt forstå at MS gerne vil undgå det.

Gravatar #31 - inckie
16. maj 2013 13:45
mega2507 (10) skrev:
#9 Har du nogen gode foreslag til noget software der har chat kanaler med backlog ligesom Skype har det, for så er jeg da frisk på at prøve noget nyt?


IRC, eller dvs det er meget nemt at få din klient til at lave en backlog, ZNC kan også.
Gravatar #32 - Vandmand
16. maj 2013 14:27
#27

Hvis en anden gaetter min kode til min Skype konto (min Microsoft konto) er mine Skype samtaler sgu det jeg er mindst bekymret for. Det vil give adgang til alle mine email korrespondencer med Microsoft, mine Microsoft certifikater, SkyDrive, telefon kontakter osv.

Jeg kan ikke se hvorfor features skal begraenses, paa det grundlag at en anden person kan gaette min kode. Ville det ikke give mere mening at forbedre sikkerheden, eventuelt med 2 trins authentication eller lignende i stedet for at begraense features?

#9
Pidgin? Lige gyldigt hvilken protokol du vaelger, saa har Pidgin backlog.
Gravatar #33 - mega2507
16. maj 2013 14:50
#31 Jeg kan ikke lige se hvordan en IRC klient i sig selv kan lave backlog hvis den ikke er online, den kan lave log når den er online, så dvs. jeg enten skal have en server kørende for en ZNC server, eller også kunne jeg bare kører mIRC som publiced RemoteApp fra en windows server, men det ældre ikke på at det er en funktionalitet som kunne indbygges hos klienterne som Skype har gjort det. Jeg finder det utroligt at ingen andre har lavet noget alla det Skype har, desuden vil jeg alligevel skulle have Skype kørende ved siden af for voice/video kald.
Gravatar #34 - Magten
16. maj 2013 16:20
Vandmand (32) skrev:
Jeg kan ikke se hvorfor features skal begraenses, paa det grundlag at en anden person kan gaette min kode. Ville det ikke give mere mening at forbedre sikkerheden, eventuelt med 2 trins authentication eller lignende i stedet for at begraense features?
Der er for nyligt blevet tilføjet 2 trins auth :)

https://account.live.com/proofs/Manage
Gravatar #35 - Vandmand
16. maj 2013 16:27
Magten (34) skrev:
Der er for nyligt blevet tilføjet 2 trins auth :)

https://account.live.com/proofs/Manage


Super, saa er der jo ikke noget problem. :) Jeg er dog ikke paranoid, saa jeg holder mig til et enkelt trin.
Gravatar #36 - gramps
16. maj 2013 17:38
#30
Men har Skype haft problemer med spam?
Gravatar #37 - Slettet Bruger [2488302484]
16. maj 2013 17:43
#36
Jeg har personligt haft problemer med spam. Tror på min sidste Skype account var der blokeret over 100 brugere i stil med russiangirls, viagra og penisenlargement. Tror muligvis bare at de havde opfanget at jeg var nørd.
Gravatar #38 - Ishayu
16. maj 2013 20:06
Alle links sendt over Skype bliver tilføjet til Bing søgemaskinen.

Så... lad være med at sende personlige eller fortrolige links over Skype.
Gravatar #39 - Target
17. maj 2013 06:17
Ishayu (38) skrev:
Alle links sendt over Skype bliver tilføjet til Bing søgemaskinen.

Så... lad være med at sende personlige eller fortrolige links over Skype.

Har du noget information som kan bakke den voldsomme påstand op?
Ikke at jeg selv anvender Skype, men det lyder ret usandsynligt.
Gravatar #40 - Nåkja
17. maj 2013 06:24
gramps (36) skrev:
#30
Men har Skype haft problemer med spam?


Det er mig bekendt ikke så stort et problem, som med messenger før spam filteret. Men nu kører Skype jo med spamfilter.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login