Skype is een van de oudste en populairste spraak- en videochatdiensten op het internet. In maart 2020 onthulde Microsoft dat Skype 40 miljoen dagelijks actieve gebruikers heeft. Hoewel er veel concurrenten zijn opgedoken, blijft Skype populair over de hele wereld.
Zo is het veilig? Is het privé? Waar moeten Skype-gebruikers op letten als ze bellen en berichten versturen? Ik zal al deze vragen in dit artikel beantwoorden. Ik zal voornamelijk de standaard Skype-apps behandelen en niet Skype voor Bedrijven.
Microsoft-gegevensverzameling
Microsoft heeft Skype in 2011 overgenomen, dus Skype deelt een privacybeleid met alle andere consumentenproducten van Microsoft. Een Microsoft-account is vereist om Skype te gebruiken. Helaas maakt dat Skype’s gegevensverzamelingspraktijken zeer ondoorzichtig. Skype wordt niet eens expliciet genoemd in de privacyverklaring van Microsoft, en die verklaring specificeert niet eens welke informatie wordt verzameld.
Dat gezegd hebbende, kunnen we de privacyverklaring interpreteren om enkele gegevens af te leiden die Microsoft verzamelt over Skype-gebruikers.
Een Skype-profiel bestaat uit:
- Profielfoto
- Username
- Password
- Emailadres
- Location
- Birth date
- Contact list
Als u Skype gebruikt om telefoons te bellen, dan heeft Microsoft ook uw betalingsgegevens nodig.
Microsoft registreert ook interacties van gebruikers, die kunnen bestaan uit:
- Wie u belt
- Tijd en duur van gesprekken
- Chatgeschiedenis
- Verzonden en ontvangen bestanden
- Gebelde telefoonnummers
- Activiteitsstatus
Microsoft zegt dat het ook gegevens over gebruikers verkrijgt van derden, waaronder mogelijk ook gegevensmakelaars.
Microsoft gebruikt persoonlijke gegevens voor gerichte reclame, personalisatie, onderzoek en ontwikkeling, en om haar producten te verbeteren. Uw gegevens worden gedeeld met aan Microsoft gelieerde ondernemingen, dochterondernemingen en verkopers. Het kan uw gegevens ook overhandigen in reactie op een juridisch verzoek.
U kunt sommige, maar niet alle gegevens die Microsoft over u heeft beheren met behulp van het online privacy dashboard.
Ontvindbaarheid
Skype maakt gebruikers standaard gemakkelijk te vinden via de zoekfunctie. Als u niet in zoekresultaten of aanbevelingen wilt verschijnen, kunt u deze optie uitschakelen in uw profielinstellingen.
Instellen van 2FA
Microsoft biedt alle accounthouders de mogelijkheid om twee-factor authenticatie in te stellen. Ik raad ten zeerste aan dit te doen, omdat het hackers afschrikt.
Twee-factor-authenticatie, ook wel verificatie in twee stappen genoemd, vereist dat u naast uw wachtwoord een eenmalige code invoert die via e-mail, sms of verificatie-app wordt verzonden.
U kunt er ook voor kiezen om in te loggen met een beveiligingssleutel, die meestal wordt geleverd in de vorm van een USB-apparaat dat moet worden aangesloten wanneer u inlogt op uw account.
Gespreksopname
Deelnemers aan Skype-naar-Skype-gesprekken kunnen hun gesprekken opnemen en opslaan op Microsoft-servers gedurende maximaal 30 dagen. Dit is een ingebouwde functie. Gedurende die tijd kunnen ze de video downloaden en gebruiken zoals ze willen. Alle deelnemers krijgen een waarschuwing als een gesprek wordt opgenomen. Screensharing wordt ook opgenomen.
Encryptie
Skype maakt standaard geen gebruik van end-to-end encryptie. Dat betekent dat elk bericht, gesprek en bestand kan worden bekeken door Microsoft.
Maar vanaf 2018 biedt Skype end-to-end-versleuteling als u de functie “Privégesprekken” gebruikt. Om een privéconversatie te starten, selecteert u “Nieuwe privéconversatie” in het menu Opstellen of in het profiel van de ontvanger. De ontvanger ontvangt een uitnodiging en alle gesprekken en berichten in dat gesprek worden end-to-end versleuteld totdat ze worden beëindigd. Let op: gebruikers kunnen slechts aan één privégesprek per apparaat tegelijk deelnemen. U kunt het privégesprek naar een ander apparaat overschakelen, maar alles wat wordt verzonden en ontvangen, is alleen toegankelijk op het apparaat dat op dat moment wordt gebruikt.
Stemmen, video, tekst en bestanden die tussen Skype-gebruikers worden verzonden, zijn standaard versleuteld, maar alleen tussen uw apparaat en de servers van Microsoft. Die gegevens worden gedecodeerd zodra ze de server bereiken, waardoor Microsoft kan snuffelen als het dat wil. Gezien Microsofts geschiedenis met de NSA kunt u er maar beter van uitgaan dat niets van wat u op Skype doet privé blijft.
Voor elk gesprek dat u voert, maakt uw Skype-client een unieke 256-bit AES-encryptiesleutel aan voor die sessie. Deze sessiesleutel blijft bestaan zolang de communicatie doorgaat en voor een bepaalde tijd daarna, aldus het bedrijf. Wanneer u belt, geeft Skype de sessiesleutel door aan degene met wie u belt en die sessiesleutel wordt vervolgens gebruikt om berichten in beide richtingen te versleutelen. Ook hier gaat het niet om end-to-end encryptie.
Oproepen tussen Skype en gewone vaste of mobiele telefoons worden in het geheel niet versleuteld. Voicemails zijn versleuteld wanneer u ze downloadt, maar ze worden als een onversleuteld bestand op uw apparaat opgeslagen.
Microsoft pingt URL’s
In 2013 bleek uit een onderzoek van Ars Technica dat Skype “regelmatig de inhoud van berichten scant op tekenen van fraude, en bedrijfsmanagers kunnen de resultaten voor onbepaalde tijd loggen. En dit kan alleen gebeuren als Microsoft de berichten naar believen kan omzetten in menselijk leesbare vorm.”
Een deel van het onderzoek, waarbij een beveiligingsonderzoeker speciaal bewerkte URL’s maakte die via Skype’s IM-systeem werden verzonden, weerspreekt Skype’s beweringen uit 2007 dat het geen afluisterpraktijken kon uitvoeren vanwege sterke versleuteling en complexe peer-to-peer netwerkverbindingen.
Malware
Skype is het doelwit van bepaalde soorten malware en ook een distributiemedium voor andere soorten malware. Hoewel alle bekende beveiligingslekken in Skype zijn gepatcht, behandelen we hier een paar incidenten uit het verleden:
In februari 2016 onthulden onderzoekers van Palo Alto Networks dat een stuk malware met de naam T9000 specifiek gericht was op Skype-gebruikers. Eenmaal geïnstalleerd kan de software Skype video- en audiogesprekken opnemen, en deze samen met tekstchats uploaden naar een server. Er is echter een caveat. Zelfs als de malware geïnstalleerd is, moet de gebruiker nog steeds expliciet toestemming geven voor toegang tot Skype, hoewel de software het verzoek maskeert zodat de gebruiker niet weet dat het kwaadaardig is. “Het slachtoffer moet de malware expliciet toestemming geven voor toegang tot Skype om deze specifieke functionaliteit te laten werken. Maar omdat een legitiem proces om toegang vraagt, kan de gebruiker deze toegang toestaan zonder zich te realiseren wat er eigenlijk gebeurt. Eenmaal ingeschakeld, zal de malware video-oproepen, audio-oproepen en chat-berichten opnemen,” aldus de onderzoekers.
Het up-to-date houden van Skype en uw besturingssysteem is de beste manier om malware te voorkomen. Antivirus is ook nuttig.
Spam en phishing
Skype is oud, wat betekent dat er veel verlaten accounts zijn. Als een cybercrimineel erin slaagt een van deze accounts te kapen, kan hij deze gebruiken om malware en phishinglinks te verspreiden naar iedereen in de lijst met contactpersonen van de account. Dit wordt verergerd door gebruikers die hun contacten niet doorlichten en verzoeken van vreemden accepteren.
In 2019 werd de Rietspoof-malware voornamelijk verspreid via Skype-spam. Dit was een Trojan die was ontworpen om systemen te infecteren zodat het meer indringende en krachtige malware kan downloaden.
Beveiligingsbedrijf F-Secure onthulde in 2016 dat criminelen zich voordeden als Amerikaanse ambtenaren die hulp boden aan Zwitserse onderdanen bij het vinden van informatie over het indienen van visa om de Verenigde Staten te bezoeken. Ze verleidden slachtoffers tot het downloaden van de QRAT-malware.
Een eenvoudige regel voorkomt dat u ooit slachtoffer wordt van spam en phishing op Skype: klik nooit op ongevraagde links of bijlagen, vooral niet van contacten met wie u al een tijdje niet hebt gecommuniceerd.
Skype geeft IP-adressen bloot
Skype-gebruikers kunnen de IP-adressen van bellers achterhalen door simpelweg alle TCP-verbindingen met uw apparaat op een rijtje te zetten. Dit kan bijvoorbeeld worden gedaan met een enkel commando in de Windows Opdrachtprompt.
Een IP-adres is een unieke reeks getallen en decimalen die een apparaat en de locatie ervan identificeert.
Hoewel een IP-adres op zichzelf misschien niet enorm waardevol is, kan het samen met andere persoonlijke informatie tegen iemand worden gebruikt. Een workaround hiervoor is het gebruik van een VPN om je echte IP-adres te verbergen.
TOM Skype
In maart 2013 onthulde Jeffrey Knockel, een afgestudeerde student computerwetenschappen aan de Universiteit van New Mexico, dat de speciale versie van Skype die Chinese gebruikers gedwongen zijn te gebruiken – bekend als TOM Skype – de Chinese overheid in staat stelde informatie over haar gebruikers te verzamelen, waaronder informatie over hun politieke overtuigingen, en ook te censureren wat ze tegen elkaar kunnen zeggen.
In mei van hetzelfde jaar meldde de gerenommeerde Russische publicatie “Vedomosti” dat zowel de nationale veiligheidsdienst als de politie in staat zijn om Skype-gesprekken af te luisteren zonder zelfs maar een gerechtelijk bevel in te dienen.
Skype-alternatieven
Ik zal een paar van Skype’s vele alternatieve VoIP-apps opnoemen van meest veilig naar minst veilig:
- Signal: Als je maar één persoon hoeft te bellen, is Signal de veiligste optie die er is. Het is een berichten-app die veiligheid en privacy boven alles stelt. Alle gesprekken en berichten worden van begin tot eind versleuteld, tenzij de andere partij normale SMS- of MMS-tekstberichten gebruikt. Het ondersteunt echter alleen gesprekken tussen twee gebruikers.
- Facetime: Facetime ondersteunt groepsgesprekken van maximaal 32 personen. Het is een van de weinige videoconferentie-apps die end-to-end-encryptie biedt bij gesprekken met meer dan twee personen. Je hebt wel een nieuwere iPhone of iPad nodig om het te gebruiken. iMessage wordt gebruikt voor tekstberichten. Apple slaat geen identificerende informatie op, behalve wie er is gebeld en de netwerkconfiguraties, die 30 dagen worden bewaard.
- WhatsApp – WhatsApp, wereldwijd een populaire messaging-app, gebruikt het beveiligde communicatieprotocol van Signal om spraak- en videogesprekken tussen gebruikers van begin tot eind te versleutelen. Het is niet zo goed beveiligd als Signal, maar het is wel handiger. Tekstberichten worden op dezelfde manier versleuteld. Aan een videogesprek kunnen maximaal vier mensen deelnemen.
- Google Duo: Deze app is beschikbaar voor smartphones of in een webbrowser. Het versleutelt alle gesprekken van begin tot eind, zodat Google geen toegang heeft tot de inhoud van het gesprek. Google verzamelt echter een heleboel andere informatie over accounthouders. Er kunnen maximaal 12 mensen deelnemen aan een gesprek.
- GoToMeeting, Google Meet, en Zoom – Deze diensten werken vrijwel hetzelfde en bieden vergelijkbare beveiliging. Ze zijn handig voor videoconferenties met grotere groepen mensen. GoToMeeting is webgebaseerd, wat betekent dat alles plaatsvindt in uw webbrowser. Voor Zoom moet een native app worden geïnstalleerd. Hangouts Meet, de versie van Google, werkt op beide manieren. Deelnemers krijgen uitnodigingscodes toegestuurd om deel te nemen aan gesprekken. De host heeft veel controle over de rechten en machtigingen van de deelnemers. TLS-encryptie wordt gebruikt tijdens de overdracht, maar gesprekken worden niet van eind tot eind gecodeerd tussen gebruikers. GoToMeeting, Google en Zoom hebben toegang tot de inhoud van gesprekken wanneer deze hun servers bereikt.