Skype — Да, мы читаем все, что Вы пишете

zorge · 20.05.2013, 13:06

Вольный перевод статьи на тему приватности переписки в Skype.

Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.

Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.

Было замечено, что после передачи в теле сообщения ссылки, генерируется необычный для неё трафик, распознаваемый сервером как потенциальная атака повторного воспроизведения.
В тоже время IP адрес, с которого «злоумышленник» пытается получить доступ по ссылке, принадлежит Microsoft.

Была предпринята попытка подтвердить подозрение, для чего в теле сообщения были отосланы две тестовых https ссылки. Одна содержала информацию для авторизации в системе (логин/пароль), а другая вела на приватный сервис файлообмена, базирующийся в облаке. Несколько часов спустя после отправки сообщения в логе был зафиксирован следующий запрос на сервер:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"

Согласно Utrace, IP адрес принадлежит Microsoft.

Таким образом, после передачи https ссылок через Skype сервер активно получает запросы с сервера Microsoft. В основном ссылки ведут на зашифрованные страницы, содержащие идентификатор сессии, или другую приватную информацию. Самое интересное, что не зашифрованные http ссылки не были посещены славной компанией.

В данном примере Microsoft использовала оба приёма — запрос к серверу содержал как отосланную пару логин-пароль, так и специально сгенерированный url на личный файлообменник.
Данные исследования были отправлены в Skype, однако в ответ получили лишь ссылку на Положение о конфиденциальности в Skype.
«Skype может использовать механизмы автоматического распознавания в мгновенных и SMS-сообщениях, чтобы идентифицировать (a) потенциальный спам и/или (b) URL-адреса, которые ранее были помечены как веб-сайты спама, фишинга или мошенников. В некоторых случаях Skype может отобрать и вручную проверить мгновенные или SMS-сообщения с целью предотвращения спама.»

Представитель компании подтвердил, что Miсrosoft сканирует сообщения с целью выявления спама и фишинговых страниц. Однако объяснение не вписывается в факты, подтвержденные практикой.
Спамовые и фишинговые сайты обычно не используют https протокол, однако именно эти ссылки были посещены представителями компании в обход обычных http страниц, не содержащих приватных данных в ссылках.
Интересно отметить, что Skype использует метод head для формирования запроса к серверу, который, по сути, просто извлекает информацию о валидности ссылки.

Однако для проверки на спам или фишинг Skype необходимо анализировать контент страницы.
Еще в январе 2013 гражданская правовая группа в составе Electronic Frontier Foundation и Reporters without Borders отправили Microsoft открытое письмо. В нём компании выразили беспокойство, что после реструктуризации Skype, последний вынужден следовать букве закона США и предоставлять доступ государственным агентствам и секретным службам к приватной информации пользователей.

В заключении хотелось бы отметить, что Microsoft, вопреки здравому смыслу, использует передаваемую через Skype информацию так, как им вздумается. Всем пользователям Skype необходимо задуматься, к чему это может привести, а пока компания совершенно не намерена раскрывать своих планов по использованию полученных приватных данных.

Источник: The-H-Security.

http://habrahabr.ru/post/180163/

sanya22 · 20.05.2013, 17:38

google voice намного удобнее и лучше скайпа

Zavu · 20.05.2013, 21:56

Ну, то есть вы поняли, как себе накручивать трафик и счетчик посещений, да?

Если там реально идут переходы по каждой ссылке, да я ж счас скайп ими завалю просто

elmoney · 30.06.2013, 19:11

Кажется при покупке Скайп за гигантскую сумму главной целью майкрософта была именно прослушка

Инвест · 01.07.2013, 04:45

а Hangouts?

Разделы
Обсуждение доменных имён	Рыночные форумы	Дизайн и развитие проектов	Поисковая оптимизация	Отдыхаем
Обсуждение доменных имён и регистраторов	Подарю домен	Обсуждение веб-дизайна	Поисковые системы	Барахолка
⋅Аукционы	Продам домен - конкретная цена	Оценка дизайна, отзывы	⋅Yandex	Комната отдыха
⋅Обсуждение доменных имён и регистраторов IDN и РФ	⋅Домены в зоне .RU (Продам - конкретная цена)	Программирование	⋅Google	DomenForum - Замечания и предложения
⋅Обсуждение доменных имён и регистраторов newTLD	⋅Домены в зоне .РФ и IDN (Продам - конкретная цена)	Графический дизайн, Flash	Каталоги	Отзывы пользователей
Оценка доменных имён	Продам домен - Аукцион	Начинающему веб-мастеру	⋅Яндекс.Каталог
⋅Оценка IDN и РФ	⋅Домены в зоне .RU (Аукцион)		⋅DMOZ
⋅Оценка доменов в newTLD	⋅Домены в зоне .РФ и IDN (Аукцион)
Для новичков домен-индустрии	Продам домен - выслушаю предложения
Новости домен-индустрии	⋅Домены в зоне .RU (Выслушаю предложения)
⋅Другие полезные новости	⋅Домены в зоне .РФ и IDN (Выслушаю предложения)
Правовые вопросы	Куплю домен
Монетизация доменов	⋅Куплю домен за сумму до ~100$
	⋅Куплю .РФ или IDN домен
	Продам/Kуплю готовый сайт
	⋅Сателлиты и варез
	⋅Сайты на бесплатном хостинге
	⋅Покупка/Продажа контента
	Хостинг Предложения/Спрос
	Купля, продажа, обмен ссылками
	⋅Покупка
	⋅Продажа
	⋅Обмен
	⋅Размещение статей
	Финансы, кредиты, обмен валют, инвестиции
	Реклама
	⋅Вакансии
	⋅Каталоги
	⋅Регистрация в каталогах

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)