Logo von heise online

Suche
Kristina Beer 671

Vorsicht beim Skypen - Microsoft liest mit

Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf. Wie heise Security feststellte, macht das mittlerweile von Microsoft übernommene Unternehmen von diesen Rechten auch tatsächlich Gebrauch. Zumindest im Chat verschickte https-URLs erhalten kurze Zeit später unangemeldeten Besuch aus Redmond.

Ein Leser machte uns darauf aufmerksam, dass ihm nach einem Skype-Chat unter Kollegen ungewöhnlicher Netzwerkverkehr gemeldet wurde. Der Server wies auf eine mögliche Replay-Attacke hin. Wie sich herausstellte, hatte eine IP-Adresse aus Redmond auf die zuvor verschickten https-URLs der Firma zugegriffen. heise Security stellte die Situation nach. Auch wir schickten uns gegenseitig URLs. Eine der https-Test-URLs enthielt Anmeldeinformationen, eine andere verwies auf private Dateifreigaben eines Cloud-Dienstes. Einige Stunden nach unseren Postings konnten wir es dann in den Server-Logfiles sehen:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"


Die Zugriffe erfolgen von Systemen, die eindeutig Microsoft zuzuordnen sind. Vergrößern
Bild: Utrace

Auch wir hatten Besuch aus Redmond – von einer auf Microsoft registrierten IP-Adresse – bekommen und zwar bei allen verschickten https-URLs. Solche Verweise auf verschlüsselte Web-Seiten enthalten häufig eindeutige Sitzungsdaten oder andere vertrauliche Informationen; die ebenfalls verschickten, einfachen http-URLs blieben hingegen unangetastet. Microsoft nutzte bei den Zugriffen sowohl die enthaltenen Anmeldeinformationen als auch die speziell erstellte URL für eine private Dateifreigabe eines Cloud-Dienstes.

Auf Anfrage von heise Security, was dieses Vorgehen zu bedeuten hat, antwortete Skype mit einer Passage aus seinen Datenschutzrichtlinien:

"Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden."

Wie das Unternehmen durch einen Sprecher beteuerte, werden Nachrichten gescannt, um Links zu Spam- und Phishing-Seiten zu filtern. Die Fakten sprechen aber gegen diese Erklärung. Spam- und Phishing-Seiten lauern normalerweise nicht auf https-Seiten. Die eher betroffenen http-URLs ohne Eigentümerinformationen fasste Skype hingegen nicht an. Außerdem verschickt Skype Head-Requests, die lediglich Verwaltungsinformationen des Servers abrufen. Um Webseiten auf Spam oder Phishing zu untersuchen, müsste Skype jedoch die Inhalte der Seiten überprüfen.

Im Januar hatten bereits Bürgerrechtler in einem offenen Brief in Frage gestellt, wie sicher die Kommunikation über Skype seit der Übernahme durch Microsoft ist. Die Autoren des Briefes, darunter unter anderem die Electronic Frontier Foundation und Reporter ohne Grenzen, befürchten, dass Skype sich wegen der durch die Übernahme erfolgten Umstrukturierung den US-Gesetzen zum Abhören von Gesprächen beugen und somit Behörden und Geheimdiensten Zugriff auf die Gespräche gewähren müsse.

Unser Fazit: Wer Skype benutzt, muss sich nicht nur damit einverstanden erklären, dass Microsoft alle übertragenen Daten quasi nach Belieben nutzt. Er muss davon ausgehen, dass dies tatsächlich geschieht und der Konzern auch nicht verrät, was genau er mit diesen Daten anstellt. (kbe)

671 Kommentare

Themen:

Anzeige
  1. Trojaner öffnet anscheinend Hintertür bei Skype

    Trojaner zeichnet Skype-Gespräche auf

    Die T9000-Malware soll verschiedene Viren-Wächter effektiv austricksen und nach einer erfolgreichen Infektion unter anderem Skype-Gespräche mitschneiden können.

  2. Skype Translator wird Teil der Desktop-App für Windows

    Skype Translator

    Der Simultanübersetzer für Skype-Video-Chats wird in den nächsten Wochen in sechs Sprachen in die Skype-App für Windows integriert. Nutzer anderer Betriebssysteme müssen warten.

  3. Fraunhofer ESK: Skype ist Sicherheitsrisiko für Firmen

    Skype

    Wissenschaftler des Fraunhofer-ESK-Instituts haben Microsofts Instant-Messaging-Dienst Skype untersucht und raten Firmen vom Einsatz ab. Vor allem wegen der Netzarchitektur und der Verschlüsselung haben sie Sicherheitsbedenken.

  4. Skype schließt Videochat-App Qik

    Skype schließt Vidoechat-App Qik

    Knapp anderthalb Jahre nach seiner Vorstellung, stellt Skype den Messenger Qik wieder ein – wohl auch wegen dessen Erfolglosigkeit. Die meisten Funktionalitäten seien inzwischen aber sowieso in Skype enthalten.

  1. Änderung der Nutzungsbedingungen für Skype: Aprilscherz, Missverständnis oder Realität?

    Skype Änderung der Nutzungsbedingungen: Aprilscherz, Missverständnis oder Realität?

    Seit Snowden sind wir ja viel Ärger gewöhnt, aber die am 2. Dezember bekannt gemachten Änderungen der Nutzungsbedingungen von Skype sind mehr als fragwürdig.

  2. PowerShell 5.0 mit Unit Testing und für Windows 7 und Server 2008 R2

    Im Rahmen der PowerShell-Community-Konferenz in Essen verkündete Microsoft Neuigkeiten zur nächsten PowerShell-Version.

  3. Avast 2015 attackiert Router für den guten Zweck

    Die 2015er Kollektion von Avast überprüft nicht nur den Rechner, sondern auch den Router. Dabei soll sie unter anderem Sicherheitslücken und schwache Passwörter aufspüren. heise Security hat ergründet, wie das funktioniert und dabei Überraschungen erlebt.

  1. Astrofotografie mit der Pentax K-1 im Test

    Astrofotografie, Pentax K-1

    Für Nachtaufnahmen vom Sternenhimmel bietet die neue Vollformat-DSLR Pentax K-1 einen Leckerbissen: Die Autotracer-Funktion verfolgt die Sterne, sodass sie punktförmig erscheinen. Wir haben die Kamera während einer Nachtsession getestet.

  2. Gehackte Promi-Nacktbilder: Angeklagter bekennt sich vor Gericht schuldig

    Jennifer Lawrence

    Mit Phishing-Mails hat ein Mann aus dem US-Bundesstaat Pennsylvania Zugriff auf über 100 Apple- und Google-Accounts erlangt. Intime Fotos von Prominenten bezog er aus deren iPhone-Backups.

  3. Samsung SSD 750 EVO: Flash für den Preiskampf

    Samsung SSD 750 EVO

    Bei Solid-State Disks tobt der Preiskampf, viele Käufer wählen schlichtweg die billigste SSD mit der gewünschten Kapazität; die 750 EVO soll Samsung hier besser positionieren.

  4. LGs Virtual-Realityy-Brille 360 VR hat grundlegende Schwächen

    LG 360 VR ist die schlechteste aktuelle VR-Brille

    Auch LG will auf der Virtual-Reality-Welle reiten und bietet die Brille "360 VR" an, die nur zusammen mit dem Smartphone LG G5 funktioniert. Im Test stellt sich das Gerät nicht nur wegen der grauenvoller Ergonomie als Total-Flop heraus.

Anzeige