Kdokoliv užívajíc Skype svolil, aby tato společnost četla vše, co píše. Společnost The H v Německu od heise Security teď objevila, že tato pobočka Microsoftu tohoto privilegia v praxi využívá. Krátce pod odeslání HTTPS URL přes službu instant messaging se těmto URL dostane neoznámené návštěvy z ústředí Microsoftu v Redmontonu. Jistý čtenář informoval heise Security, že si všiml určitého nezvyklého síťového provozu po konverzacích Skypem přes instant messaging. Server ukazoval potenciální útok opakovaným požadavkem „repley attack“.


Ukázalo se, že ta IP adresa, kterou šlo zpětně vystopovat k Microsoftu přistupovala k těm samým HTTPS URL, které byly před tím přeneseny Skypem. Heise Security tudíž tyto události reprodukovala dvěma testy HTTPS URL, jedním obsahujícím informace s loginem a jedním ukazujícím do soukromé služby sdílení souborů na bázi cloudu. Pár hodin po jejich zprávách Skypem, si povšimli následného loginu k tomuto serveru:

[quote align="center" color="#999999"]

65.52.100.214 – – [30/Apr/2013:19:28:32 +0200]
"HEAD /…/login.html?user=tbtest&password=geheim HTTP/1.1"[/quote]

Zdroj: Utrace Rovněž se jim dostalo návštěvy na každou HTTPS URL poslanou přes Skype z IP adresy registrované Microsoftem v Redmontonu. URL ukazující na zašifrované webové stránky často obsahují unikátní data patřící jen tomuto sezení nebo další důvěrné informace. Na rozdíl od nich na obyčejné HTTP URL nepřišli. Při návštěvě těchto stránek použil Microsoft jak login informace, tak i speciálně vytvořené URL pro soukromou službu sdílení souborů v cloudu.

V reakci na požadavek od heise Security, je Skype odkázal na pasáž ze své politiky ochrany dat:

„Skype může použít automatické skenování Instant Messagingu a MSM, aby (a) identifikoval podezřelý spam anebo (b) identifikovat URL, které byly před tím označeny jako odkazy na spam, podvod nebo phishing.“ (Poznámka: Phishing vylákávání osobních nebo důvěrných informací.)

Mluvčí této společnosti potvrdil, že tato skenuje zprávy, aby odfiltrovala spam a webové stránky s phishingem. Tohle vysvětlení se však nejeví jako zakládající se na faktech. Stránky se spamem a phishingem se obvykle nenachází na webech se zašifrovaným osobním spojením HTTPS. Skype naopak HTTP URL tímto daleko častěji postižené, které neobsahují žádné informace o vlastníkovi přístupu, nechává bez povšimnutí. Skype rovněž odesílá hlavičkové požadavky, které nesou pouze administrativní informace vztahující se k tomuto serveru. Aby zkontrolovali stránku ohledně spamu či phishingu, tak by musel Skype prozkoumat její obsah.

V lednu posílala jistá skupina lidských práv Microsoftu otevřený dopis s dotazem na bezpečnost komunikace Skypem poté, co jej převzali. Skupina za tímto dopisem, k nimž patří Electronic Frontier Foundation a Reporters without Borders vyjádřila obavy, že restrukturalizace vzniklá z převzetí znamená, že Skype bude muset vyhovět US zákonům o odposlechu, a bude tudíž muset vládním agenturám a tajným službám dovolit přístup ke komunikaci Skypem.

Jako souhrn The H a heise Security věří, že Microsoft tohoto svolení využívání u všech touto službou přenášených dat ve velkém rozsahu, jak se mu zachce, a všichni uživatelé Skypu by měli předpokládat, že k tomu opravdu dochází, a že společnost neodhalí, k čemu přesně ta data sbírá.

Související články:

Překlad: Miroslav Pavlíček

Zdroj:  prisonplanet.com