Logo von heise online

Suche
671

Vorsicht beim Skypen - Microsoft liest mit

Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf. Wie heise Security feststellte, macht das mittlerweile von Microsoft übernommene Unternehmen von diesen Rechten auch tatsächlich Gebrauch. Zumindest im Chat verschickte https-URLs erhalten kurze Zeit später unangemeldeten Besuch aus Redmond.

Anzeige

Ein Leser machte uns darauf aufmerksam, dass ihm nach einem Skype-Chat unter Kollegen ungewöhnlicher Netzwerkverkehr gemeldet wurde. Der Server wies auf eine mögliche Replay-Attacke hin. Wie sich herausstellte, hatte eine IP-Adresse aus Redmond auf die zuvor verschickten https-URLs der Firma zugegriffen. heise Security stellte die Situation nach. Auch wir schickten uns gegenseitig URLs. Eine der https-Test-URLs enthielt Anmeldeinformationen, eine andere verwies auf private Dateifreigaben eines Cloud-Dienstes. Einige Stunden nach unseren Postings konnten wir es dann in den Server-Logfiles sehen:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"


Die Zugriffe erfolgen von Systemen, die eindeutig Microsoft zuzuordnen sind. Vergrößern
Bild: Utrace

Auch wir hatten Besuch aus Redmond – von einer auf Microsoft registrierten IP-Adresse – bekommen und zwar bei allen verschickten https-URLs. Solche Verweise auf verschlüsselte Web-Seiten enthalten häufig eindeutige Sitzungsdaten oder andere vertrauliche Informationen; die ebenfalls verschickten, einfachen http-URLs blieben hingegen unangetastet. Microsoft nutzte bei den Zugriffen sowohl die enthaltenen Anmeldeinformationen als auch die speziell erstellte URL für eine private Dateifreigabe eines Cloud-Dienstes.

Auf Anfrage von heise Security, was dieses Vorgehen zu bedeuten hat, antwortete Skype mit einer Passage aus seinen Datenschutzrichtlinien:

"Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden."

Wie das Unternehmen durch einen Sprecher beteuerte, werden Nachrichten gescannt, um Links zu Spam- und Phishing-Seiten zu filtern. Die Fakten sprechen aber gegen diese Erklärung. Spam- und Phishing-Seiten lauern normalerweise nicht auf https-Seiten. Die eher betroffenen http-URLs ohne Eigentümerinformationen fasste Skype hingegen nicht an. Außerdem verschickt Skype Head-Requests, die lediglich Verwaltungsinformationen des Servers abrufen. Um Webseiten auf Spam oder Phishing zu untersuchen, müsste Skype jedoch die Inhalte der Seiten überprüfen.

Im Januar hatten bereits Bürgerrechtler in einem offenen Brief in Frage gestellt, wie sicher die Kommunikation über Skype seit der Übernahme durch Microsoft ist. Die Autoren des Briefes, darunter unter anderem die Electronic Frontier Foundation und Reporter ohne Grenzen, befürchten, dass Skype sich wegen der durch die Übernahme erfolgten Umstrukturierung den US-Gesetzen zum Abhören von Gesprächen beugen und somit Behörden und Geheimdiensten Zugriff auf die Gespräche gewähren müsse.

Unser Fazit: Wer Skype benutzt, muss sich nicht nur damit einverstanden erklären, dass Microsoft alle übertragenen Daten quasi nach Belieben nutzt. Er muss davon ausgehen, dass dies tatsächlich geschieht und der Konzern auch nicht verrät, was genau er mit diesen Daten anstellt. (kbe)

671 Kommentare

Themen:

  1. Skype für den Mac: Update mit diversen Bugfixes

    Skype für den Mac: Update mit diversen Bugfixes

    Nutzer des Kommunikationsdienstes unter OS X sollten ihre App aktualisieren: Version 7.2 von Skype behebt mehrere nervige Fehler. Ein Problem, das zu hoher CPU-Last führt, ist nach wie vor nicht gelöst.

  2. Microsoft schaltet Skype for Web als Beta frei

    Microsoft schaltet Skype for Web als Beta frei

    Schon länger arbeitet Microsoft an einer Webausgabe von Skype, nun haben die Entwickler eine offizielle Beta des Kommunikationsdienstes freigeschaltet. Bisher können jedoch nur Nutzer in den USA und dem Vereinigten Königreich darauf zugreifen.

  3. Skype stellt neue Videochat-App vor

    Kurze Clips lassen sich in Skype Qik einfach einspielen.

    Skype hat eine neue Video-Messaging-App vorgestellt, mit der sich kurze Videonachrichten an Gruppen von Freunden schicken lassen.

  1. Fakten und Spekulationen zu Skypes ominösen Link-Checks

    Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch.

  2. PowerShell 5.0 mit Unit Testing und für Windows 7 und Server 2008 R2

    Im Rahmen der PowerShell-Community-Konferenz in Essen verkündete Microsoft Neuigkeiten zur nächsten PowerShell-Version.

  3. Avast 2015 attackiert Router für den guten Zweck

    Die 2015er Kollektion von Avast überprüft nicht nur den Rechner, sondern auch den Router. Dabei soll sie unter anderem Sicherheitslücken und schwache Passwörter aufspüren. heise Security hat ergründet, wie das funktioniert und dabei Überraschungen erlebt.

  1. Diät-Bulli: Sparfahrt im VW Multivan BlueMotion

    Jahrzehntelang waren Bullis beliebte Urlaubsmobile für günstiges Geld, teuer wurde es dann an der Tanke. Den modernen Nachfolger gibt es nicht zum Bllligtarif, dafür ist er sparsamer, vor allem als BlueMotion-Version

  2. Abstellgenehmigung

    Volkswagen V-Charge: Autonomes Parken und Laden

    In den USA nimmt man den Gästen von Hotels oder Restaurants erst das Auto und dann das Parken ab. Wir Bewohner der Servicewüste Deutschland erledigen das Einparken immer noch selbst. Noch, denn Volkswagen stellt uns jetzt ein selbstparkendes Auto vor

  3. Alfas letzte Chance

    Neuvorstellung: Alfa Romeo Giulia

    Mit einer sportlichen Limousine startet Alfa Romeo sein Comeback. Sergio Marchionne, Chef des Mutterkonzerns sagt: Mit der neuen Giulia bekommt Alfa seine letzte Chance. Sie soll zumindest ein bisschen mit BMW 3er, Audi A4 und Mercedes C-Klasse mithalten können

  4. Pendolino für zwei

    Kabinenroller trifft Neigetechnik: Der Toyota i-Road

    Wer von unseren geneigten Lesern weiß, wie viel Ärger die Neigetechnik der Bahn bereitet, möchte sich das für den 85 Zentimeter schmalen Toyota i-ROAD gar nicht vorstellen. Ein Versagen der Technik könnte hier zu multiplem Abrollen in die falsche Richtung führen

Anzeige