A Skype az egyik legrégebbi és legnépszerűbb hang- és videócsevegő szolgáltatás az interneten. A Microsoft 2020 márciusában nyilvánosságra hozta, hogy a Skype-nak 40 millió napi aktív felhasználója van. Bár számos versenytárs jelent meg, a Skype továbbra is népszerű világszerte.

Szóval biztonságos? Magánjellegű? Mire kell figyelniük a Skype-felhasználóknak, amikor telefonálnak és üzeneteket küldenek? Ebben a cikkben mindezekre a kérdésekre választ adok. Elsősorban a standard Skype-alkalmazásokkal fogok foglalkozni, a Skype for Business alkalmazással nem.

Microsoft adatgyűjtés

A Microsoft 2011-ben felvásárolta a Skype-ot, így a Skype osztozik az összes többi fogyasztói Microsoft-termékkel közös adatvédelmi irányelveken. A Skype használatához Microsoft-fiók szükséges. Ez sajnos nagyon átláthatatlanná teszi a Skype adatgyűjtési gyakorlatát. A Skype-ot még a Microsoft adatvédelmi nyilatkozatában sem említi kifejezetten, és ez a nyilatkozat nem is határozza meg, hogy milyen adatokat gyűjt.

Ezzel együtt értelmezhetjük az adatvédelmi nyilatkozatot, hogy következtetni tudjunk néhány olyan adatra, amelyet a Microsoft a Skype-felhasználókról gyűjt.

A Skype-profil a következőkből áll:

  • Profilkép
  • Felnév
  • Jelszó
  • E-mail cím
  • Helyszín
  • Születési dátum
  • Kapcsolatlista

Ha a Skype-ot telefonhívásokra használja, akkor a Microsoft a fizetési adatait is kéri.

A Microsoft a felhasználói interakciókat is rögzíti, amelyek a következők lehetnek:

  • Kit hív
  • A hívások ideje és időtartama
  • Csevegési előzmények
  • Küldött és fogadott fájlok
  • Hívott telefonszámok
  • Activity status

A Microsoft szerint harmadik felektől is szerez adatokat a felhasználókról, amelyek között adatközvetítők is lehetnek.

A személyes adatokat a Microsoft célzott reklámozáshoz, személyre szabáshoz, kutatáshoz és fejlesztéshez, valamint termékei fejlesztéséhez használja fel. Az Ön adatait megosztják a Microsoft leányvállalataival, leányvállalataival és beszállítóival. Jogi kérésre is átadhatja az adatait.

Az online adatvédelmi műszerfal segítségével kezelheti a Microsoft által Önről tárolt adatok egy részét, de nem az összeset.

Felfedezhetőség

A Skype alapértelmezés szerint megkönnyíti a felhasználók megtalálását a keresési funkció segítségével. Ha nem szeretne megjelenni a keresési eredményekben vagy az ajánlásokban, akkor ezt a lehetőséget kikapcsolhatja a profil beállításaiban.

2FA beállítása

A Microsoft minden fiókbirtokosnak lehetőséget biztosít a kétfaktoros hitelesítés beállítására. Erősen ajánlom, hogy ezt tegye meg, mivel nagyszerű visszatartó erő a leendő hackerek számára.

A kétfaktoros hitelesítés, más néven kétlépcsős ellenőrzés, megköveteli, hogy a jelszava mellett egy e-mailben, szöveges üzenetben vagy hitelesítési alkalmazáson keresztül küldött egyszeri kódot is megadjon.

Egy biztonsági kulccsal is bejelentkezhet, amely általában egy USB-eszköz formájában jelenik meg, amelyet a fiókba való bejelentkezéskor be kell dugni.

Hívásrögzítés

A Skype-Skype-hívások résztvevői rögzíthetik a hívásaikat, és legfeljebb 30 napig tárolhatják azokat a Microsoft szerverein. Ez egy beépített funkció. Ez idő alatt letölthetik a videót, hogy azt tetszésük szerint felhasználhassák. Minden résztvevő értesítést kap, ha a hívást rögzítik. A képernyőmegosztás is rögzítésre kerül.

Titkosítás

A Skype alapértelmezés szerint nem használ végponttól-végpontig titkosítást. Ez azt jelenti, hogy minden üzenet, hívás és fájl megtekinthető a Microsoft számára.

De 2018-tól a Skype végponttól-végpontig titkosítást kínál, ha a “Privát beszélgetés” funkciót használja. Privát beszélgetés indításához válassza az “Új privát beszélgetés” lehetőséget a komponálás menüből vagy a címzett profiljából. A címzett meghívót kap, és a beszélgetés során az összes hívás és üzenet végponttól végpontig titkosítva lesz, amíg meg nem szűnik. Vegye figyelembe, hogy a felhasználók eszközönként egyszerre csak egy magánbeszélgetésben vehetnek részt. A privát beszélgetés átkapcsolható egy másik eszközre, de minden elküldött és fogadott üzenet csak az éppen használt eszközön érhető el.

Alapértelmezés szerint a Skype-felhasználók között küldött hang, videó, szöveg és fájlok titkosítva vannak, de csak az eszköz és a Microsoft szerverei között. Ezek az adatok a szerverre érkezés után visszafejtésre kerülnek, így a Microsoft kedvére szaglászhat. Tekintettel a Microsoft és az NSA közös múltjára, a legjobb, ha feltételezzük, hogy a Skype-on végzett tevékenységei nem maradnak titokban.

A Skype-kliens minden egyes híváshoz egyedi 256 bites AES titkosítási kulcsot hoz létre az adott munkamenethez. Ez a munkamenetkulcs a vállalat szerint mindaddig létezik, amíg a kommunikáció tart, és egy meghatározott ideig utána is. Amikor hívást kezdeményez, a Skype továbbítja a munkamenetkulcsot a hívott félnek, és ezt a munkamenetkulcsot használja az üzenetek titkosítására mindkét irányban. Ez sem végponttól végpontig tartó titkosítás.

A Skype és a normál vezetékes vagy mobiltelefonok közötti hívások egyáltalán nem titkosítottak. A hangüzenetek letöltéskor titkosítva vannak, de titkosítatlan fájlként tárolódnak a készüléken.

Microsoft pinging URL-ek

2013-ban az Ars Technica egyik vizsgálata szerint a Skype “rendszeresen vizsgálja az üzenetek tartalmát csalásra utaló jelek után, és a vállalat vezetői korlátlan ideig naplózhatják az eredményeket. És ez csak akkor történhet meg, ha a Microsoft tetszés szerint átalakíthatja az üzeneteket ember által olvashatóvá.”

A vizsgálat egy része, amelynek során egy biztonsági kutató speciálisan kialakított URL-címeket hozott létre, amelyeket a Skype IM-rendszerén keresztül küldött el, ellentmond a Skype 2007-ben tett állításainak, miszerint az erős titkosítás és a bonyolult peer-to-peer hálózati kapcsolatok miatt nem tud lehallgatásokat végezni.

Kártevők

A Skype bizonyos típusú kártevők célpontja, valamint más típusú kártevők terjesztési eszköze. Bár a Skype összes ismert biztonsági rését befoltozták már, néhány múltbéli incidensre itt kitérünk:

2016 februárjában a Palo Alto Networks kutatói felfedték, hogy a T9000 nevű rosszindulatú szoftver kifejezetten a Skype-felhasználókat célozta meg. A telepítést követően a szoftver képes rögzíteni a Skype videó- és hanghívásokat, és azokat a szöveges beszélgetésekkel együtt feltölteni egy szerverre. Van azonban egy kikötés. Még a rosszindulatú szoftver telepítése után is a felhasználónak kifejezett engedélyt kell adnia a Skype-hozzáféréshez, bár a kérést elrejti, így a felhasználó nem tudja, hogy rosszindulatú. “Az áldozatnak kifejezetten engedélyeznie kell, hogy a rosszindulatú szoftver hozzáférjen a Skype-hoz, hogy ez a bizonyos funkció működjön. Mivel azonban egy legitim folyamat kéri a hozzáférést, a felhasználó engedélyezheti ezt a hozzáférést anélkül, hogy észrevenné, mi is történik valójában. Miután engedélyezte, a rosszindulatú szoftver rögzíti a videóhívásokat, a hanghívásokat és a csevegőüzeneteket” – mondták a kutatók.

A Skype és az operációs rendszer naprakészen tartása a legjobb módja a rosszindulatú szoftverek megelőzésének. A vírusirtó szintén hasznos.

Spam és adathalászat

A Skype régi, ami azt jelenti, hogy sok elhagyott fiók van odakint. Ha egy kiberbűnözőnek sikerül eltérítenie az egyik ilyen fiókot, akkor azt arra használhatja, hogy rosszindulatú szoftvereket és adathalász linkeket terjesszen a fiók kapcsolatlistájában szereplő összes embernek. Ezt súlyosbítják azok a felhasználók, akik nem vizsgálják át a kapcsolataikat, és elfogadják az idegenektől érkező megkereséseket.

2019-ben a Rietspoof kártevő elsősorban Skype spameken keresztül terjedt. Ez egy olyan trójai volt, amelyet arra terveztek, hogy megfertőzze a rendszereket, hogy még behatolóbb és erősebb kártevőket tölthessen le.

Az F-Secure biztonsági cég 2016-ban felfedte, hogy bűnözők amerikai tisztviselőknek adták ki magukat, és segítséget ajánlottak svájci állampolgároknak, hogy információkat találjanak arról, hogyan kell vízumot igényelniük az Egyesült Államokba való látogatáshoz. Az áldozatokat a QRAT kártevő letöltésére csapták be.

Egy egyszerű szabály megakadályozza, hogy valaha is spam és adathalászat áldozatává váljon a Skype-on: soha ne kattintson kéretlen linkekre vagy mellékletekre, különösen olyan kapcsolatoktól, amelyekkel már régóta nem kommunikált.

A Skype feltárja az IP-címeket

A Skype-felhasználók a hívók IP-címét egyszerűen a készülékéhez vezető összes TCP-kapcsolat felsorolásával deríthetik ki. Ez például a Windows parancssor egyetlen parancsával elvégezhető.

Az IP-cím számok és tizedesjegyek egyedi sorozata, amely azonosítja az eszközt és annak helyét.

Az IP-cím önmagában nem feltétlenül értékes, de más személyes adatokkal együtt felhasználható valaki ellen. Ennek egyik megoldása a VPN használata a valódi IP-cím elrejtéséhez.

TOM Skype

2013 márciusában Jeffrey Knockel, az Új-Mexikói Egyetem informatikai szakos hallgatója felfedte, hogy a Skype speciális verziója, amelyet a kínai felhasználók kénytelenek használni – az úgynevezett TOM Skype – lehetővé teszi a kínai kormány számára, hogy információkat gyűjtsön a felhasználókról, beleértve a politikai meggyőződésükre vonatkozó információkat, valamint cenzúrázza, hogy mit mondhatnak egymásnak.

Ugyanezen év májusában a “Vedomosztyi” című tekintélyes orosz kiadvány arról számolt be, hogy mind a nemzetbiztonsági ügynökség, mind a rendőrség képes lehallgatni a Skype-beszélgetéseket anélkül, hogy bírósági végzést kellene benyújtania.

Skype-alternatívák

A Skype számos alternatív VoIP-alkalmazása közül felsorolok néhányat a legbiztonságosabbtól a legkevésbé biztonságosig:

  • Signal: Ha csak egy személyt kell felhívnod, a Signal a legbiztonságosabb lehetőség. Ez egy üzenetküldő alkalmazás, amely mindenekelőtt a biztonságot és az adatvédelmet helyezi előtérbe. Minden hívás és üzenet végponttól végpontig titkosítva van, kivéve, ha a másik fél normál SMS vagy MMS szöveges üzeneteket használ. Azonban csak két felhasználó közötti hívásokat támogat.
  • Facetime: A Facetime legfeljebb 32 fős csoportos hívásokat támogat. Ez az egyik egyetlen olyan videokonferencia-alkalmazás, amely kettőnél több emberrel folytatott hívás esetén végponttól-végpontig titkosítást kínál. Használatához azonban újabb iPhone vagy iPad készülékre van szükség. iMessage szöveges üzenetekre szolgál. Az Apple nem tárol semmilyen azonosító információt, kivéve azt, hogy kit hívtak és a hálózati konfigurációkat, amelyeket 30 napig tárolnak.
  • WhatsApp – A világszerte népszerű üzenetküldő alkalmazás, a WhatsApp a Signal biztonságos kommunikációs protokollt használja a felhasználók közötti hang- és videohívások végponttól végpontig történő titkosítására. Nem egészen olyan védett, mint a Signal, de sokkal kényelmesebb. A szöveges üzenetek ugyanígy titkosítva vannak. Egy videóhíváshoz legfeljebb négy személy csatlakozhat.
  • Google Duo: Ez az alkalmazás okostelefonokra vagy webböngészőben érhető el. Minden hívást végig titkosít, így a Google nem fér hozzá a hívás tartalmához. A Google azonban sok más információt is gyűjt a számlatulajdonosokról. Egy híváshoz legfeljebb 12 személy csatlakozhat.
  • GoToMeeting, Google Meet és Zoom: Ezek a szolgáltatások nagyjából ugyanúgy működnek és hasonló biztonságot nyújtanak. Hasznosak nagyobb létszámú csoportokkal való videokonferenciákhoz. A GoToMeeting webalapú, vagyis minden a böngészőben zajlik. A Zoom egy natív alkalmazás telepítését igényli. A Hangouts Meet, a Google verziója mindkét módon működik. A hívásokhoz való csatlakozáshoz meghívókódokat küldenek a résztvevőknek. A házigazda bőségesen ellenőrizheti a résztvevők jogosultságait és engedélyeit. Az átvitel során TLS titkosítást használnak, de a hívások nem titkosítottak a felhasználók között. A GoToMeeting, a Google és a Zoom hozzáfér a hívás tartalmához, amikor az eléri a szervereiket.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.