Skype è uno dei più antichi e popolari servizi di chat vocale e video su internet. Nel marzo 2020, Microsoft ha rivelato che Skype ha 40 milioni di utenti attivi al giorno. Anche se molti concorrenti sono emersi, Skype rimane popolare in tutto il mondo.
Quindi è sicuro? È privato? Di cosa dovrebbero essere consapevoli gli utenti di Skype quando fanno chiamate e inviano messaggi? Risponderò a tutte queste domande in questo articolo. Tratterò principalmente le applicazioni standard di Skype e non Skype for Business.
Raccolta dei dati di Microsoft
Microsoft ha acquisito Skype nel 2011, quindi Skype condivide una politica sulla privacy con tutti gli altri prodotti consumer di Microsoft. Un account Microsoft è necessario per utilizzare Skype. Purtroppo, questo rende le pratiche di raccolta dati di Skype molto opache. Skype non è nemmeno menzionato esplicitamente nella dichiarazione sulla privacy di Microsoft, e tale dichiarazione non specifica nemmeno quali informazioni vengono raccolte.
Detto questo, possiamo interpretare la dichiarazione sulla privacy per dedurre alcuni dei dati che Microsoft raccoglie sugli utenti Skype.
Un profilo Skype consiste in:
- Immagine del profilo
- Nome utente
- Password
- Indirizzo e-mail
- Localizzazione
- Data di nascita
- Lista contatti
Se usi Skype per chiamare i telefoni, allora Microsoft richiede anche i tuoi dati di pagamento.
Microsoft registra anche le interazioni dell’utente, che potrebbero includere:
- Chi chiami
- Tempo e durata delle chiamate
- Storia delle chat
- File inviati e ricevuti
- Numeri di telefono chiamati
- Stato dell’attività
Microsoft dice che ottiene anche dati sugli utenti da terze parti, che potrebbero includere broker di dati.
Microsoft usa i dati personali per pubblicità mirata, personalizzazione, ricerca e sviluppo e per migliorare i suoi prodotti. I tuoi dati vengono condivisi con gli affiliati, le filiali e i fornitori di Microsoft. Può anche consegnare i tuoi dati in risposta a una richiesta legale.
Puoi gestire alcuni ma non tutti i dati che Microsoft ha su di te usando il suo cruscotto della privacy online.
Disponibilità
Skype di default rende gli utenti facili da trovare attraverso la funzione di ricerca. Se non vuoi apparire nei risultati di ricerca o nelle raccomandazioni, puoi disabilitare questa opzione nelle impostazioni del tuo profilo.
Imposta 2FA
Microsoft offre a tutti i titolari di account la possibilità di impostare l’autenticazione a due fattori. Raccomando vivamente di farlo, in quanto è un ottimo deterrente per gli aspiranti hacker.
L’autenticazione a due fattori, chiamata anche verifica in due fasi, richiede l’inserimento di un codice una tantum inviato via e-mail, messaggio di testo o app di autenticazione, oltre alla tua password.
Puoi anche scegliere di accedere con una chiave di sicurezza, che di solito si presenta sotto forma di un dispositivo USB che deve essere inserito quando accedi al tuo account.
Registrazione delle chiamate
I partecipanti alle chiamate Skype-to-Skype possono registrare le loro chiamate e archiviarle sui server Microsoft per un massimo di 30 giorni. Questa è una caratteristica integrata. Durante questo periodo, possono scaricare il video per usarlo a loro piacimento. Tutti i partecipanti saranno avvisati se una chiamata viene registrata. Anche la condivisione dello schermo viene registrata.
Crittografia
Skype non usa la crittografia end-to-end per default. Ciò significa che ogni messaggio, chiamata e file può essere visualizzato da Microsoft.
Ma dal 2018, Skype offre la crittografia end-to-end se usi la funzione “Conversazione privata”. Per iniziare una conversazione privata, seleziona “Nuova conversazione privata” dal menu di composizione o dal profilo del destinatario. Il destinatario riceverà un invito, e tutte le chiamate e i messaggi in quella conversazione saranno crittografati end-to-end fino al termine. Nota che gli utenti possono partecipare a una sola conversazione privata per dispositivo alla volta. Puoi passare la conversazione privata a un altro dispositivo, ma tutto ciò che viene inviato e ricevuto è accessibile solo sul dispositivo attualmente in uso.
Per impostazione predefinita, voce, video, testo e file inviati tra utenti Skype sono crittografati, ma solo tra il tuo dispositivo e i server di Microsoft. Quei dati vengono decriptati una volta che raggiungono il server, permettendo a Microsoft di curiosare se lo desidera. Data la storia di Microsoft con la NSA, è meglio supporre che nulla di ciò che fai su Skype sia tenuto privato.
Per ogni chiamata che fai, il tuo client Skype crea una chiave di crittografia AES a 256 bit unica per quella sessione. Questa chiave di sessione esiste finché la comunicazione continua e per un tempo fisso dopo, secondo l’azienda. Quando si effettua una chiamata, Skype trasmette la chiave di sessione alla persona che si sta chiamando e la chiave di sessione viene utilizzata per crittografare i messaggi in entrambe le direzioni. Anche in questo caso, non si tratta di crittografia end-to-end.
Le chiamate effettuate tra Skype e i normali telefoni fissi o cellulari non sono affatto crittografate. I messaggi vocali sono crittografati quando li scarichi, ma vengono memorizzati come un file non crittografato sul tuo dispositivo.
Microsoft pinga gli URL
Nel 2013 un’indagine di Ars Technica ha scoperto che Skype “analizza regolarmente il contenuto dei messaggi alla ricerca di segni di frode, e i manager della società possono registrare i risultati a tempo indeterminato. E questo può accadere solo se Microsoft può convertire i messaggi in forma leggibile per l’uomo a volontà.”
Parte dell’indagine che ha visto un ricercatore di sicurezza creare URL appositamente creati che sono stati inviati sul sistema IM di Skype, contrasta le affermazioni di Skype fatte nel 2007 che non poteva condurre intercettazioni a causa della forte crittografia e delle complesse connessioni di rete peer-to-peer.
Malware
Skype è preso di mira da alcuni tipi di malware, oltre ad essere un mezzo di distribuzione per altri tipi di malware. Anche se tutte le vulnerabilità di sicurezza conosciute in Skype sono state patchate, copriremo qui alcuni incidenti passati:
Nel febbraio 2016, i ricercatori di Palo Alto Networks hanno rivelato che un pezzo di malware chiamato T9000 stava prendendo di mira specificamente gli utenti Skype. Una volta installato, il software può registrare le chiamate video e audio di Skype, e caricarle insieme alle chat di testo su un server. C’è però un avvertimento. Anche con il malware installato, l’utente deve ancora dare il permesso esplicito per accedere a Skype, anche se maschera la richiesta in modo che l’utente non sappia che è dannoso. “La vittima deve esplicitamente consentire al malware di accedere a Skype perché questa particolare funzionalità funzioni. Tuttavia, poiché un processo legittimo sta richiedendo l’accesso, l’utente può consentire questo accesso senza rendersi conto di ciò che sta effettivamente accadendo. Una volta abilitato, il malware registrerà videochiamate, chiamate audio e messaggi di chat”, hanno detto i ricercatori.
Mantenere Skype e il sistema operativo aggiornati è il modo migliore per prevenire il malware. Anche l’antivirus è utile.
Spam e phishing
Skype è vecchio, il che significa che ci sono molti account abbandonati là fuori. Se un criminale informatico riesce a dirottare uno di questi account, può usarlo per diffondere malware e link di phishing a tutti i contatti dell’account. Questo è aggravato dagli utenti che non controllano i loro contatti e accettano richieste da sconosciuti.
Nel 2019, il malware Rietspoof è stato diffuso principalmente attraverso lo spam di Skype. Si trattava di un Trojan progettato per infettare i sistemi in modo da poter scaricare malware più intrusivo e potente.
La società di sicurezza F-Secure nel 2016 ha rivelato che i criminali si fingevano funzionari statunitensi offrendo aiuto ai cittadini svizzeri per trovare informazioni su come presentare i visti per visitare gli Stati Uniti. Hanno indotto le vittime a scaricare il malware QRAT.
Una semplice regola ti impedirà di cadere vittima di spam e phishing su Skype: non cliccare mai su link o allegati non richiesti, specialmente da contatti con cui non comunichi da un po’.
Skype espone gli indirizzi IP
Gli utenti di Skype possono capire gli indirizzi IP dei chiamanti semplicemente elencando tutte le connessioni TCP al tuo dispositivo. Questo può essere fatto con un singolo comando nel Prompt dei comandi di Windows, per esempio.
Un indirizzo IP è una sequenza unica di numeri e decimali che identifica un dispositivo e la sua posizione.
Mentre un indirizzo IP di per sé non può essere estremamente prezioso, potrebbe essere usato insieme ad altre informazioni personali contro qualcuno. Una soluzione è quella di utilizzare una VPN per nascondere il tuo vero indirizzo IP.
TOM Skype
Nel marzo 2013, Jeffrey Knockel, uno studente laureato in informatica presso l’Università del New Mexico, ha rivelato che la versione speciale di Skype che gli utenti cinesi sono costretti a utilizzare – conosciuta come TOM Skype – stava permettendo al governo cinese di raccogliere informazioni sui suoi utenti, comprese le informazioni sulle loro convinzioni politiche, oltre a censurare ciò che possono dire gli uni agli altri.
Nel maggio dello stesso anno, la ben nota pubblicazione russa “Vedomosti” ha riferito che sia l’agenzia di sicurezza nazionale che la polizia sono in grado di intercettare le conversazioni Skype senza nemmeno presentare un ordine del tribunale.
Alternative a Skype
Ecco alcune delle molte applicazioni VoIP alternative di Skype, dalla più sicura alla meno sicura:
- Signal: Se avete bisogno di chiamare solo una persona, Signal è l’opzione più sicura là fuori. È un’app di messaggistica che dà la priorità alla sicurezza e alla privacy sopra ogni cosa. Tutte le chiamate e i messaggi sono criptati da un capo all’altro, a meno che l’altra parte non stia usando normali messaggi di testo SMS o MMS. Tuttavia, supporta solo le chiamate tra due utenti.
- Facetime: Facetime supporta chiamate di gruppo fino a 32 persone. È una delle uniche applicazioni di videoconferenza che offre la crittografia end-to-end su chiamate con più di due persone. Avrai bisogno di un iPhone o iPad più recente per usarlo, però. iMessage è usato per i messaggi di testo. Nessuna informazione identificativa viene memorizzata da Apple, tranne chi è stato chiamato e le configurazioni di rete, che vengono memorizzate per 30 giorni.
- WhatsApp – Un’app di messaggistica popolare in tutto il mondo, WhatsApp utilizza il protocollo di comunicazione sicura Signal per crittografare le chiamate voce e video da un capo all’altro tra gli utenti. Non è così protetto come Signal, ma è più conveniente. I messaggi di testo sono criptati allo stesso modo. Fino a quattro persone possono partecipare a una videochiamata.
- Google Duo: Questa applicazione è disponibile per smartphone o in un browser web. Crittografa tutte le chiamate da un capo all’altro in modo che Google non abbia accesso al contenuto della chiamata. Tuttavia, Google raccoglie molte altre informazioni sui titolari di account. Fino a 12 persone possono partecipare a una chiamata.
- GoToMeeting, Google Meet e Zoom – Questi servizi funzionano più o meno allo stesso modo e offrono una sicurezza simile. Sono utili per le videoconferenze con grandi gruppi di persone. GoToMeeting è basato sul web, il che significa che tutto si svolge nel tuo browser web. Zoom richiede l’installazione di un’app nativa. Hangouts Meet, la versione di Google, funziona in entrambi i modi. I codici di invito sono inviati ai partecipanti per unirsi alle chiamate. L’host ha un sacco di controllo sui privilegi e le autorizzazioni dei partecipanti. La crittografia TLS viene utilizzata in transito, ma le chiamate non sono criptate da un capo all’altro tra gli utenti. GoToMeeting, Google e Zoom hanno accesso al contenuto della chiamata quando raggiunge i loro server.