Skype jest jedną z najstarszych i najbardziej popularnych usług czatu głosowego i wideo w Internecie. W marcu 2020 roku Microsoft ujawnił, że Skype ma 40 milionów aktywnych użytkowników dziennie. Chociaż pojawiło się wielu konkurentów, Skype pozostaje popularny na całym świecie.
Czy jest więc bezpieczny? Czy jest prywatny? Na co powinni zwracać uwagę użytkownicy Skype’a, kiedy wykonują połączenia i wysyłają wiadomości? Na wszystkie te pytania odpowiem w tym artykule. Zajmę się głównie standardowymi aplikacjami Skype’a, a nie Skype for Business.
Gromadzenie danych przez Microsoft
Microsoft nabył Skype’a w 2011 roku, więc Skype dzieli politykę prywatności ze wszystkimi innymi konsumenckimi produktami Microsoftu. Do korzystania ze Skype’a wymagane jest konto Microsoft. Niestety, to sprawia, że praktyki zbierania danych przez Skype’a są bardzo nieprzejrzyste. Skype nie jest nawet wyraźnie wymieniony w oświadczeniu Microsoftu o ochronie prywatności, a oświadczenie to nie określa nawet, jakie informacje są gromadzone.
Jakkolwiek by nie było, możemy zinterpretować oświadczenie o ochronie prywatności, aby wywnioskować niektóre dane, które Microsoft gromadzi o użytkownikach Skype’a.
Profil Skype’a składa się z:
- Zdjęcia profilowego
- Nazwy użytkownika
- Hasła
- Adresu e-mail
- Miejsca
- Daty urodzenia
- Listy kontaktów
Jeśli używasz Skype’a do dzwonienia na telefony, to Microsoft będzie wymagał również informacji o płatnościach.
Microsoft rejestruje również interakcje użytkownika, które mogą obejmować:
- Kto dzwoni
- Czas i czas trwania połączeń
- Historia czatu
- Wysłane i otrzymane pliki
- Numery telefonów, na które dzwoniono
- Stan aktywności
Microsoft twierdzi, że uzyskuje również dane o użytkownikach od stron trzecich, które mogą obejmować brokerów danych.
Microsoft używa danych osobowych do reklamy ukierunkowanej, personalizacji, badań i rozwoju oraz do ulepszania swoich produktów. Dane użytkownika są udostępniane oddziałom, filiom i sprzedawcom firmy Microsoft. Może również przekazać Twoje dane w odpowiedzi na żądanie prawne.
Możesz zarządzać niektórymi, ale nie wszystkimi danymi, które Microsoft posiada na Twój temat, korzystając z pulpitu nawigacyjnego prywatności online.
Odkrywalność
Skype domyślnie sprawia, że użytkownicy są łatwi do znalezienia dzięki funkcji wyszukiwania. Jeśli nie chcesz pojawiać się w wynikach wyszukiwania lub rekomendacjach, możesz wyłączyć tę opcję w ustawieniach swojego profilu.
Ustaw 2FA
Microsoft oferuje wszystkim posiadaczom kont możliwość ustawienia dwuskładnikowego uwierzytelniania. Zdecydowanie polecam to zrobić, ponieważ jest to świetny środek odstraszający dla niedoszłych hakerów.
Uwierzytelnianie dwuskładnikowe, zwane również weryfikacją dwuetapową, wymaga, aby oprócz hasła wprowadzić jednorazowy kod wysyłany pocztą e-mail, SMS-em lub aplikacją uwierzytelniającą.
Możesz również zalogować się za pomocą klucza bezpieczeństwa, który zwykle ma postać urządzenia USB, które musi być podłączone podczas logowania się do konta.
Nagrywanie rozmów
Uczestnicy rozmów między użytkownikami Skype’a mogą nagrywać swoje rozmowy i przechowywać je na serwerach firmy Microsoft przez okres do 30 dni. Jest to wbudowana funkcja. W tym czasie mogą pobrać wideo i wykorzystać je według własnego uznania. Wszyscy uczestnicy zostaną powiadomieni o tym, że rozmowa jest nagrywana. Udostępnianie ekranu również jest nagrywane.
Szyfrowanie
Skype domyślnie nie używa szyfrowania end-to-end. Oznacza to, że każda wiadomość, rozmowa i plik mogą być przeglądane przez Microsoft.
Od 2018 roku Skype oferuje jednak szyfrowanie end-to-end, jeśli korzystasz z funkcji „Rozmowa prywatna”. Aby rozpocząć rozmowę prywatną, wybierz opcję „Nowa rozmowa prywatna” z menu komponowania lub profilu odbiorcy. Odbiorca otrzyma zaproszenie, a wszystkie połączenia i wiadomości w tej rozmowie będą szyfrowane end-to-end do momentu zakończenia. Należy pamiętać, że użytkownicy mogą jednocześnie uczestniczyć tylko w jednej rozmowie prywatnej na jednym urządzeniu. Rozmowę prywatną można przełączyć na inne urządzenie, ale wszystkie wysyłane i odbierane wiadomości mogą być dostępne tylko na urządzeniu, które jest aktualnie używane.
Domyślnie głos, wideo, tekst i pliki przesyłane między użytkownikami Skype’a są szyfrowane, ale tylko między urządzeniem a serwerami firmy Microsoft. Dane te są odszyfrowane po dotarciu do serwera, pozwalając Microsoft do snoop, jeśli tak chce. Biorąc pod uwagę historię współpracy Microsoftu z NSA, najlepiej założyć, że nic, co robisz w Skypie, nie jest poufne.
Dla każdej wykonywanej rozmowy klient Skype’a tworzy unikatowy 256-bitowy klucz szyfrowania AES dla tej sesji. Według firmy ten klucz sesji istnieje tak długo, jak długo trwa komunikacja, i przez określony czas po jej zakończeniu. Kiedy użytkownik nawiązuje połączenie, Skype przekazuje klucz sesji osobie, do której dzwoni, a klucz ten jest następnie używany do szyfrowania wiadomości w obu kierunkach. Również w tym przypadku nie jest to szyfrowanie typu end-to-end.
Połączenia między Skype’em a zwykłymi telefonami stacjonarnymi lub komórkowymi nie są w ogóle szyfrowane. Wiadomości głosowe są szyfrowane podczas ich pobierania, ale są przechowywane w urządzeniu jako niezaszyfrowany plik.
Microsoft pinguje adresy URL
W 2013 roku dochodzenie Ars Technica wykazało, że Skype „regularnie skanuje zawartość wiadomości w poszukiwaniu oznak oszustwa, a menedżerowie firmy mogą rejestrować wyniki w nieskończoność. A to może się zdarzyć tylko wtedy, gdy Microsoft może dowolnie przekształcać wiadomości w formę czytelną dla człowieka.”
Część dochodzenia, w której badacz bezpieczeństwa stworzył specjalnie spreparowane adresy URL, które były wysyłane przez system komunikatorów Skype’a, podważa twierdzenia Skype’a z 2007 roku, że nie może prowadzić podsłuchów z powodu silnego szyfrowania i złożonych połączeń w sieci peer-to-peer.
Złośliwe oprogramowanie
Skype jest celem pewnych rodzajów złośliwego oprogramowania, a także medium dystrybucyjnym dla innych rodzajów złośliwego oprogramowania. Mimo że wszystkie znane luki w zabezpieczeniach Skype’a zostały załatane, omówimy tutaj kilka incydentów z przeszłości:
W lutym 2016 roku badacze z Palo Alto Networks ujawnili, że złośliwe oprogramowanie o nazwie T9000 było specjalnie ukierunkowane na użytkowników Skype’a. Po zainstalowaniu oprogramowanie może nagrywać rozmowy wideo i audio Skype’a, a następnie przesyłać je wraz z czatami tekstowymi na serwer. Jest jednak pewne zastrzeżenie. Nawet po zainstalowaniu złośliwego oprogramowania, użytkownik musi wyrazić wyraźną zgodę na dostęp do Skype’a, jednak maskuje ono żądanie, tak aby użytkownik nie wiedział, że jest ono złośliwe. „Ofiara musi wyraźnie zezwolić złośliwemu oprogramowaniu na dostęp do Skype’a, aby ta konkretna funkcja działała. Jednak, ponieważ o dostęp prosi legalny proces, użytkownik może zezwolić na ten dostęp, nie zdając sobie sprawy z tego, co tak naprawdę się dzieje. Po włączeniu tej funkcji złośliwe oprogramowanie będzie nagrywać rozmowy wideo, rozmowy audio i wiadomości na czacie” – powiedzieli badacze.
Uaktualnianie Skype’a i systemu operacyjnego to najlepszy sposób na zapobieganie złośliwemu oprogramowaniu. Pomocny jest również program antywirusowy.
Spam i phishing
Skype jest stary, co oznacza, że istnieje wiele porzuconych kont. Jeśli cyberprzestępca zdoła porwać jedno z tych kont, może wykorzystać je do rozprzestrzeniania szkodliwego oprogramowania i linków phishingowych do wszystkich osób z listy kontaktów na tym koncie. Sytuację pogarszają użytkownicy, którzy nie weryfikują swoich kontaktów i akceptują prośby od nieznajomych.
W 2019 roku szkodliwe oprogramowanie Rietspoof rozprzestrzeniało się głównie za pośrednictwem spamu Skype. Był to trojan zaprojektowany do infekowania systemów, aby mógł pobrać bardziej inwazyjne i silniejsze złośliwe oprogramowanie.
Firma ochroniarska F-Secure w 2016 r. ujawniła, że przestępcy podawali się za urzędników amerykańskich, oferując pomoc obywatelom Szwajcarii w znalezieniu informacji o tym, jak złożyć wniosek o wizy w celu odwiedzenia Stanów Zjednoczonych. Podstępem nakłaniali ofiary do pobrania złośliwego oprogramowania QRAT.
Prosta zasada sprawi, że nigdy nie padniesz ofiarą spamu i phishingu na Skype: nigdy nie klikaj niechcianych linków ani załączników, zwłaszcza od kontaktów, z którymi nie komunikowałeś się od jakiegoś czasu.
Skype ujawnia adresy IP
Użytkownicy Skype’a mogą poznać adresy IP rozmówców, po prostu wypisując wszystkie połączenia TCP z urządzeniem. Można to zrobić za pomocą jednego polecenia w Wierszu poleceń systemu Windows, na przykład.
Adres IP jest unikalną sekwencją liczb i cyfr po przecinku, która identyfikuje urządzenie i jego lokalizację.
Ale adres IP sam w sobie może nie być bardzo cenny, może być użyty wraz z innymi informacjami osobistymi przeciwko komuś. One workaround to this is to use a VPN to hide your real IP address.
TOM Skype
W marcu 2013 roku Jeffrey Knockel, student informatyki na Uniwersytecie w Nowym Meksyku, ujawnił, że specjalna wersja Skype’a, którą chińscy użytkownicy są zmuszeni używać – znana jako TOM Skype – pozwalała chińskiemu rządowi zbierać informacje o swoich użytkownikach, w tym informacje o ich przekonaniach politycznych, a także cenzurować to, co mogą sobie nawzajem powiedzieć.
W maju tego samego roku ceniona rosyjska publikacja „Vedomosti” doniosła, że zarówno agencja bezpieczeństwa narodowego, jak i policja są w stanie podsłuchiwać rozmowy przez Skype’a, nie składając nawet wniosku o wydanie nakazu sądowego.
Skypowe alternatywy
Wymienię kilka z wielu alternatywnych aplikacji VoIP Skype’a, od najbardziej do najmniej bezpiecznych:
- Signal: Jeśli musisz zadzwonić tylko do jednej osoby, Signal jest najbezpieczniejszą opcją. Jest to aplikacja do przesyłania wiadomości, która stawia bezpieczeństwo i prywatność ponad wszystko. Wszystkie połączenia i wiadomości są szyfrowane od końca do końca, chyba że druga strona korzysta z normalnych wiadomości tekstowych SMS lub MMS. Jednak obsługuje ona tylko połączenia między dwoma użytkownikami.
- Facetime: Facetime obsługuje połączenia grupowe do 32 osób. Jest to jedna z jedynych aplikacji do wideokonferencji, która oferuje szyfrowanie end-to-end w połączeniach z więcej niż dwiema osobami. Do korzystania z niej potrzebny jest jednak nowszy iPhone lub iPad. iMessage służy do wysyłania wiadomości tekstowych. Żadne informacje identyfikujące nie są przechowywane przez Apple, z wyjątkiem informacji o tym, kto został wywołany i konfiguracji sieci, która jest przechowywana przez 30 dni.
- WhatsApp – Popularna na całym świecie aplikacja do przesyłania wiadomości, WhatsApp wykorzystuje bezpieczny protokół komunikacyjny Signal do szyfrowania połączeń głosowych i wideo od końca do końca między użytkownikami. Nie jest to rozwiązanie tak zaawansowane jak Signal, ale jest wygodniejsze. Wiadomości tekstowe są szyfrowane w ten sam sposób. Do połączenia wideo mogą dołączyć maksymalnie cztery osoby.
- Google Duo: Ta aplikacja jest dostępna na smartfony lub w przeglądarce internetowej. Szyfruje ona wszystkie połączenia od końca do końca, dzięki czemu Google nie ma dostępu do treści połączeń. Jednak Google zbiera wiele innych informacji o posiadaczach kont. Do jednego połączenia może dołączyć maksymalnie 12 osób.
- GoToMeeting, Google Meet i Zoom – Te usługi działają podobnie i oferują podobne zabezpieczenia. Są przydatne do prowadzenia wideokonferencji z większymi grupami osób. GoToMeeting jest webowy, co oznacza, że wszystko odbywa się w Twojej przeglądarce internetowej. Zoom wymaga zainstalowania natywnej aplikacji. Hangouts Meet, wersja Google, działa w obie strony. Do uczestników wysyłane są kody zaproszeniowe, aby mogli dołączyć do rozmowy. Gospodarz ma dużą kontrolę nad przywilejami i uprawnieniami uczestników. Szyfrowanie TLS jest stosowane w tranzycie, ale połączenia między użytkownikami nie są szyfrowane od początku do końca. GoToMeeting, Google i Zoom mają dostęp do treści rozmowy, gdy dotrze ona do ich serwerów.