Skype er en af de ældste og mest populære tale- og videochat-tjenester på internettet. I marts 2020 afslørede Microsoft, at Skype havde 40 millioner daglige aktive brugere. Selv om der er dukket mange konkurrenter op, er Skype fortsat populær i hele verden.

Så er det sikkert? Er det privat? Hvad skal Skype-brugere være opmærksomme på, når de foretager opkald og sender beskeder? Jeg vil besvare alle disse spørgsmål i denne artikel. Jeg vil primært dække standard Skype-apps og ikke Skype for Business.

Microsofts dataindsamling

Microsoft købte Skype i 2011, så Skype deler en privatlivspolitik med alle andre forbrugerprodukter fra Microsoft. Der kræves en Microsoft-konto for at bruge Skype. Det gør desværre Skypes dataindsamlingspraksis meget uigennemsigtig. Skype er ikke engang nævnt eksplicit i Microsofts erklæring om beskyttelse af personlige oplysninger, og denne erklæring angiver ikke engang, hvilke oplysninger der indsamles.

Det sagt kan vi fortolke erklæringen om beskyttelse af personlige oplysninger for at udlede nogle af de data, som Microsoft indsamler om Skype-brugere.

En Skype-profil består af:

  • Profilbillede
  • Brugernavn
  • Password
  • E-mailadresse
  • Stedested
  • Fødselsdato
  • Kontaktliste

Hvis du bruger Skype til at ringe til telefoner, så skal Microsoft også have dine betalingsoplysninger.

Microsoft registrerer også brugerinteraktioner, hvilket kan omfatte:

  • Hvem du ringer til
  • Tid og varighed af opkald
  • Chathistorik
  • Sendte og modtagne filer
  • Telefonnumre, der ringes op
  • Aktivitetsstatus

Microsoft siger, at det også indhenter data om brugere fra tredjeparter, hvilket kan omfatte datamæglere.

Microsoft bruger personlige data til målrettet annoncering, personlig tilpasning, forskning og udvikling og til at forbedre sine produkter. Dine data deles med Microsofts tilknyttede selskaber, datterselskaber og leverandører. Virksomheden kan også udlevere dine data som svar på en juridisk anmodning.

Du kan administrere nogle, men ikke alle de data, som Microsoft har om dig, ved hjælp af virksomhedens online dashboard til beskyttelse af personlige oplysninger.

Opdagelighed

Skype gør som standard brugerne lette at finde via søgefunktionen. Hvis du ikke ønsker at blive vist i søgeresultater eller anbefalinger, kan du deaktivere denne mulighed i dine profilindstillinger.

Indstil 2FA

Microsoft giver alle kontohavere mulighed for at indstille to-faktor-autentificering. Jeg anbefaler på det kraftigste at gøre det, da det er en stor afskrækkende faktor for potentielle hackere.

To-faktor-godkendelse, også kaldet totrinsbekræftelse, kræver, at du indtaster en engangskode, der sendes via e-mail, sms eller en godkendelsesapp, ud over din adgangskode.

Du kan også vælge at logge på med en sikkerhedsnøgle, som normalt kommer i form af en USB-enhed, der skal være tilsluttet, når du logger på din konto.

Optagelse af opkald

Deltagere i Skype-til-Skype-opkald kan optage deres opkald og gemme dem på Microsofts servere i op til 30 dage. Dette er en indbygget funktion. I den periode kan de downloade videoen for at bruge den som de vil. Alle deltagere vil blive advaret, hvis et opkald bliver optaget. Skærmdeling bliver også optaget.

Kryptering

Skype bruger ikke end-to-end-kryptering som standard. Det betyder, at alle beskeder, opkald og filer kan ses af Microsoft.

Men fra 2018 tilbyder Skype end-to-end-kryptering, hvis du bruger funktionen “Privat konversation”. Hvis du vil starte en privat samtale, skal du vælge “Ny privat samtale” i komponérmenuen eller i modtagerens profil. Modtageren modtager en invitation, og alle opkald og beskeder i denne samtale vil være krypteret end-to-end, indtil de afsluttes. Bemærk, at brugere kun kan deltage i én privat samtale pr. enhed ad gangen. Du kan skifte den private samtale til en anden enhed, men alt, hvad der sendes og modtages, kan kun tilgås på den enhed, der bruges i øjeblikket.

Som standard er stemme, video, tekst og filer, der sendes mellem Skype-brugere, krypteret, men kun mellem din enhed og Microsofts servere. Disse data dekrypteres, når de når frem til serveren, så Microsoft kan snage, hvis de har lyst. I betragtning af Microsofts historie med NSA er det bedst at gå ud fra, at intet af det, du gør på Skype, er privat.

For hvert opkald, du foretager, opretter din Skype-klient en unik 256-bit AES-krypteringsnøgle for den pågældende session. Denne sessionsnøgle eksisterer, så længe kommunikationen fortsætter og i et fast tidsrum bagefter, ifølge virksomheden. Når du foretager et opkald, overfører Skype sessionsnøglen til den person, du ringer til, og denne sessionsnøgle bruges derefter til at kryptere meddelelser i begge retninger. Igen er der ikke tale om end-to-end-kryptering.

Samtaler mellem Skype og normale fastnet- eller mobiltelefoner er slet ikke krypteret. Voicemails krypteres, når du downloader dem, men de gemmes som en ukrypteret fil på din enhed.

Microsoft pinging URL’er

I 2013 viste en undersøgelse fra Ars Technica, at Skype “regelmæssigt scanner beskedindholdet for tegn på svindel, og virksomhedsledere kan logge resultaterne på ubestemt tid. Og det kan kun ske, hvis Microsoft kan konvertere beskederne til menneskeligt læsbar form efter behag.”

En del af undersøgelsen, hvor en sikkerhedsforsker skabte specielt udformede URL’er, som blev sendt over Skypes IM-system, modbeviser Skypes påstande fra 2007 om, at det ikke kunne foretage aflytninger på grund af stærk kryptering og komplekse peer-to-peer-netværksforbindelser.

Malware

Skype er mål for visse former for malware og er også et distributionsmedie for andre typer malware. Selv om alle kendte sikkerhedssårbarheder i Skype er blevet lappet, vil vi dække nogle få tidligere hændelser her:

I februar 2016 afslørede forskere hos Palo Alto Networks, at et stykke malware kaldet T9000 var specifikt rettet mod Skype-brugere. Når softwaren er installeret, kan den optage Skype-video- og lydopkald og uploade dem sammen med tekstchats til en server. Der er dog en advarsel. Selv når malwaren er installeret, skal brugeren stadig give udtrykkelig tilladelse til at få adgang til Skype, selv om den maskerer anmodningen, så brugeren ikke ved, at den er skadelig. “Offeret skal udtrykkeligt give malwaren lov til at få adgang til Skype, for at denne særlige funktionalitet kan fungere. Men da det er en legitim proces, der anmoder om adgang, kan brugeren tillade denne adgang uden at være klar over, hvad der rent faktisk sker. Når den er aktiveret, vil malware optage videoopkald, lydopkald og chatbeskeder,” siger forskerne.

Den bedste måde at forebygge malware på er at holde Skype og dit styresystem opdateret. Antivirus er også nyttigt.

Spam og phishing

Skype er gammelt, hvilket betyder, at der er mange forladte konti derude. Hvis det lykkes en cyberkriminel at kapre en af disse konti, kan han/hun bruge den til at sprede malware og phishing-links til alle på kontoens kontaktliste. Dette forværres af brugere, der ikke gennemgår deres kontakter og accepterer anmodninger fra fremmede.

I 2019 blev Rietspoof-malware primært spredt via Skype-spam. Det var en trojansk hest, der var designet til at inficere systemer, så den kan downloade mere indgribende og potent malware.

Sikkerhedsfirmaet F-Secure afslørede i 2016, at kriminelle udgav sig for at være amerikanske embedsmænd og tilbød hjælp til schweiziske statsborgere med at finde oplysninger om, hvordan de kan ansøge om visum til at besøge USA. De narrede ofrene til at downloade QRAT-malware.

En simpel regel vil forhindre, at du nogensinde bliver offer for spam og phishing på Skype: Klik aldrig på uopfordrede links eller vedhæftede filer, især ikke fra kontakter, du ikke har kommunikeret med i et stykke tid.

Skype afslører IP-adresser

Skype-brugere kan finde ud af opkaldernes IP-adresser ved blot at lave en liste over alle TCP-forbindelser til din enhed. Dette kan f.eks. gøres med en enkelt kommando i Windows Command Prompt.

En IP-adresse er en unik sekvens af tal og decimaler, der identificerer en enhed og dens placering.

Selv om en IP-adresse i sig selv måske ikke er særlig værdifuld, kan den bruges sammen med andre personlige oplysninger mod en person. En løsning på dette problem er at bruge en VPN til at skjule din rigtige IP-adresse.

TOM Skype

I marts 2013 afslørede Jeffrey Knockel, der er kandidatstuderende i datalogi ved University of New Mexico, at den særlige version af Skype, som kinesiske brugere er tvunget til at bruge – kendt som TOM Skype – gjorde det muligt for den kinesiske regering at indsamle oplysninger om brugerne, herunder oplysninger om deres politiske overbevisning, samt at censurere, hvad de kan sige til hinanden.

I maj samme år rapporterede den velanskrevne russiske publikation “Vedomosti”, at både den nationale sikkerhedstjeneste og politiet er i stand til at aflytte Skype-samtaler uden selv at indgive en retskendelse.

Skype-alternativer

Jeg vil opremse et par af Skypes mange alternative VoIP-apps fra mest sikre til mindst sikre:

  • Signal: Hvis du kun har brug for at ringe til én person, er Signal det mest sikre alternativ derude. Det er en messaging-app, der prioriterer sikkerhed og privatliv frem for alt andet. Alle opkald og beskeder er krypteret ende til ende, medmindre den anden part bruger normale SMS- eller MMS-beskeder. Den understøtter dog kun opkald mellem to brugere.
  • Facetime: Facetime understøtter gruppeopkald med op til 32 personer. Det er en af de eneste videokonferenceapps, der tilbyder end-to-end-kryptering ved opkald med mere end to personer. Du skal dog bruge en nyere iPhone eller iPad for at bruge den. iMessage bruges til tekstbeskeder. Apple gemmer ingen identifikationsoplysninger, bortset fra hvem der blev ringet op og netværkskonfigurationer, som gemmes i 30 dage.
  • WhatsApp – WhatsApp er en populær besked-app verden over og bruger Signals sikre kommunikationsprotokol til at kryptere stemme- og videoopkald ende til ende mellem brugere. Det er ikke helt så hærdet som Signal, men det er mere praktisk. Tekstbeskeder er krypteret på samme måde. Op til fire personer kan deltage i et videoopkald.
  • Google Duo: Denne app er tilgængelig til smartphones eller i en webbrowser. Den krypterer alle opkald fra ende til ende, så Google ikke har adgang til opkaldsindholdet. Google indsamler dog en masse andre oplysninger om kontohavere. Op til 12 personer kan deltage i et opkald.
  • GoToMeeting, Google Meet og Zoom: Disse tjenester fungerer stort set på samme måde og tilbyder lignende sikkerhed. De er nyttige til videokonferencer med større grupper af personer. GoToMeeting er webbaseret, hvilket betyder, at alt foregår i din webbrowser. Zoom kræver installation af en native app. Hangouts Meet, Googles version, fungerer på begge måder. Der sendes invitationskoder til deltagerne for at deltage i opkald. Værten har masser af kontrol over deltagernes privilegier og tilladelser. TLS-kryptering anvendes i transit, men opkald er ikke krypteret fra ende til ende mellem brugerne. GoToMeeting, Google og Zoom har adgang til opkaldsindholdet, når det når frem til deres servere.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.