Skype é um dos mais antigos e populares serviços de chat de voz e vídeo na Internet. Em março de 2020, a Microsoft revelou que o Skype tinha 40 milhões de usuários ativos diariamente. Embora muitos concorrentes tenham surgido, o Skype continua popular em todo o mundo.
Então, é seguro? É privado? Do que os usuários do Skype devem estar cientes quando fazem chamadas e enviam mensagens? Vou responder a todas essas perguntas neste artigo. Vou cobrir principalmente os aplicativos padrão do Skype e não o Skype para Empresas.
Recolha de dados da Microsoft
A Microsoft adquiriu o Skype em 2011, portanto, a Skype compartilha uma política de privacidade com todos os outros produtos de consumo da Microsoft. É necessário ter uma conta Microsoft para usar o Skype. Infelizmente, isso torna as práticas de coleta de dados da Skype muito opacas. O Skype nem sequer é mencionado explicitamente na declaração de privacidade da Microsoft, e essa declaração nem sequer especifica quais informações são coletadas.
Posto isso, podemos interpretar a declaração de privacidade para deduzir alguns dos dados que a Microsoft coleta sobre os usuários do Skype.
Consiste em um perfil do Skype:
- Fotos do perfil
- Nome do usuário
- Senha
- Endereço de e-mail
- Local
- Data de nascimento
- Lista de contatos
Se você usa o Skype para ligar para telefones, então a Microsoft também exigirá suas informações de pagamento.
Microsoft também registra as interações do usuário, que podem incluir:
- Quem você liga
- Tempo e duração das ligações
- Histórico do chat
- Arquivos enviados e recebidos
- Números de telefone chamados
- Estado de atividade
Microsoft diz que também obtém dados sobre usuários de terceiros, o que pode incluir corretores de dados.
Microsoft usa dados pessoais para publicidade dirigida, personalização, pesquisa e desenvolvimento, e para melhorar os seus produtos. Os seus dados são partilhados com as afiliadas, subsidiárias e fornecedores da Microsoft. Também pode entregar os seus dados em resposta a um pedido legal.
Pode gerir alguns mas não todos os dados que a Microsoft tem sobre si utilizando o seu painel de privacidade online.
Discoverability
Skype por defeito torna os utilizadores fáceis de encontrar através do recurso de pesquisa. Se não quiser aparecer nos resultados da pesquisa ou recomendações, pode desactivar esta opção nas definições do seu perfil.
Configurar 2FA
Microsoft oferece a todos os titulares de contas a opção de configurar a autenticação de dois factores. Eu recomendo fortemente fazer isso, pois é um grande impedimento para os futuros hackers.
A autenticação de dois fatores, também chamada de verificação em duas etapas, requer que você digite um código único enviado por e-mail, mensagem de texto ou aplicativo de autenticação, além da sua senha.
Você também pode optar por entrar com uma chave de segurança, que normalmente vem na forma de um dispositivo USB que deve ser conectado ao entrar na sua conta.
Call recording
Os participantes de chamadas de Skype para Skype podem gravar suas chamadas e armazená-las em servidores Microsoft por até 30 dias. Este é um recurso incorporado. Durante esse tempo, eles podem baixar o vídeo para usar como quiserem. Todos os participantes serão alertados se uma chamada estiver sendo gravada. O compartilhamento de tela também é gravado.
Encryption
Skype não usa criptografia de ponta a ponta por padrão. Isso significa que cada mensagem, chamada e arquivo pode ser visualizado pela Microsoft.
Mas a partir de 2018, o Skype oferece criptografia de ponta a ponta se você usar o recurso de “Conversação Privada”. Para iniciar uma Conversação Privada, selecione “Nova Conversação Privada” no menu compor ou no perfil do destinatário. O destinatário receberá um convite, e todas as chamadas e mensagens nessa conversa serão criptografadas de ponta a ponta até serem encerradas. Note que os usuários só podem participar de uma conversa privada por dispositivo de cada vez. Você pode mudar a conversa privada para outro dispositivo, mas qualquer coisa enviada e recebida só pode ser acessada no dispositivo que está sendo usado no momento.
Por padrão, voz, vídeo, texto e arquivos enviados entre usuários do Skype são criptografados, mas somente entre o seu dispositivo e os servidores da Microsoft. Esses dados são descriptografados assim que chegam ao servidor, permitindo que a Microsoft bisbilhotar se assim o desejar. Dado o histórico da Microsoft com a NSA, é melhor assumir que nada do que você faz no Skype é mantido privado.
Para cada chamada que você faz, seu cliente Skype cria uma chave de criptografia AES exclusiva de 256 bits para aquela sessão. Esta chave de sessão existe enquanto a comunicação continuar e por um tempo fixo depois, de acordo com a empresa. Quando você faz uma chamada, o Skype transmite a chave de sessão para a pessoa que você está chamando e essa chave de sessão é então usada para criptografar as mensagens em ambas as direções. Mais uma vez, isso não é criptografia de ponta a ponta.
As chamadas feitas entre o Skype e telefones fixos ou celulares normais não são criptografadas de forma alguma. As mensagens de correio de voz são criptografadas quando você as baixa, mas são armazenadas como um arquivo não criptografado no seu dispositivo.
URLs de ping da Microsoft
Em 2013, uma investigação da Ars Technica descobriu que o Skype “varre regularmente o conteúdo das mensagens em busca de sinais de fraude, e os gerentes da empresa podem registrar os resultados indefinidamente”. E isso só pode acontecer se a Microsoft conseguir converter as mensagens em forma legível para humanos à vontade”
Parte da investigação que viu um pesquisador de segurança criar URLs especialmente criadas que foram enviadas pelo sistema de mensagens instantâneas da Skype, contraria as alegações da Skype feitas em 2007 de que ela não poderia conduzir escutas por causa da criptografia forte e das complexas conexões de rede peer-to-peer.
Malware
Skype é alvo de certos tipos de malware, além de ser um meio de distribuição para outros tipos de malware. Embora todas as vulnerabilidades de segurança conhecidas no Skype tenham sido corrigidas, vamos cobrir alguns incidentes passados aqui:
Em fevereiro de 2016, pesquisadores da Palo Alto Networks revelaram que um malware chamado T9000 tinha como alvo específico os usuários do Skype. Uma vez instalado, o software pode gravar chamadas com vídeo e áudio do Skype e carregá-las juntamente com conversas de texto para um servidor. Há uma ressalva, porém. Mesmo com o malware instalado, o usuário ainda precisa dar permissão explícita para que ele acesse o Skype, apesar de mascarar o pedido para que o usuário não saiba que é malicioso. “A vítima deve permitir explicitamente que o malware acesse o Skype para que essa funcionalidade em particular funcione. No entanto, como um processo legítimo está solicitando acesso, o usuário pode permitir esse acesso sem se dar conta do que está realmente acontecendo. Uma vez ativado, o malware gravará chamadas com vídeo, chamadas de áudio e mensagens de chat”, disseram os pesquisadores.
A melhor maneira de evitar malware é manter o Skype e o seu sistema operacional atualizados. O antivírus também é útil.
Spam e phishing
Skype é antigo, o que significa que há muitas contas abandonadas por aí. Se um criminoso cibernético conseguir seqüestrar uma dessas contas, eles podem usá-la para espalhar malware e links de phishing para todos na lista de contatos da conta. Isso é exacerbado por usuários que não verificam seus contatos e aceitam solicitações de estranhos.
Em 2019, o malware Rietspoof foi espalhado principalmente através de spam do Skype. Este foi um Trojan projetado para infectar sistemas para que ele possa baixar um malware mais intrusivo e potente.
A empresa de segurança F-Secure em 2016 revelou que os criminosos estavam se fazendo passar por oficiais americanos oferecendo ajuda a cidadãos suíços para encontrar informações sobre como pedir vistos para visitar os Estados Unidos. Eles enganaram as vítimas para baixar o malware QRAT.
Uma regra simples evitará que você seja vítima de spam e phishing no Skype: nunca clique em links ou anexos não solicitados, especialmente de contatos com os quais você não se comunica há algum tempo.
Skype expõe os endereços IP
Os usuários do Skype podem descobrir os endereços IP dos chamadores simplesmente listando todas as conexões TCP ao seu dispositivo. Isto pode ser feito com um único comando no Windows Command Prompt, por exemplo.
Um endereço IP é uma seqüência única de números e decimais que identifica um dispositivo e sua localização.
Embora um endereço IP em si possa não ser muito valioso, ele pode ser usado junto com outras informações pessoais contra alguém. Uma solução para isso é usar uma VPN para esconder seu endereço IP real.
TOM Skype
Em março de 2013, Jeffrey Knockel, um estudante de pós-graduação em ciências da computação da Universidade do Novo México, revelou que a versão especial do Skype que os usuários chineses são forçados a usar – conhecida como TOM Skype – estava permitindo que o governo chinês reunisse informações sobre seus usuários, incluindo informações sobre suas crenças políticas, além de censurar o que eles podem dizer uns aos outros.
Em maio do mesmo ano, a bem conceituada publicação russa “Vedomosti” relatou que tanto a agência de segurança nacional quanto a polícia são capazes de tocar as conversas do Skype sem sequer submeter uma ordem judicial.
Alternativas ao Skype
Listarei alguns dos muitos aplicativos VoIP alternativos do Skype, da mais segura para a menos segura:
- Sinal: Se você precisar chamar apenas uma pessoa, o Sinal é a opção mais segura que existe. É um aplicativo de mensagens que prioriza a segurança e a privacidade acima de tudo. Todas as chamadas e mensagens são criptografadas de ponta a ponta, a menos que a outra parte esteja usando mensagens de texto SMS ou MMS normais. No entanto, só suporta chamadas entre dois usuários.
- Facetime: O Facetime suporta chamadas de grupo de até 32 pessoas. É um dos únicos aplicativos de videoconferência que oferece criptografia de ponta a ponta na chamada com mais de duas pessoas. Você vai precisar de um iPhone ou iPad mais novo para usá-lo. iMessage é usado para mensagens de texto. Nenhuma informação de identificação é armazenada pela Apple excepto para quem foi chamado e configurações de rede, que é armazenada durante 30 dias.
- WhatsApp – Uma aplicação de mensagens popular em todo o mundo, a WhatsApp utiliza o protocolo de comunicação seguro do Signal para encriptar chamadas de voz e vídeo de extremo a extremo entre utilizadores. Não é tão rígido como o sinal, mas é mais conveniente. As mensagens de texto são encriptadas da mesma forma. Até quatro pessoas podem participar de uma videochamada.
- Google Duo: Este aplicativo está disponível para smartphones ou em um navegador da web. Ele criptografa todas as chamadas de ponta a ponta para que o Google não tenha acesso ao conteúdo da chamada. No entanto, o Google recolhe muitas outras informações sobre os titulares de contas. Até 12 pessoas podem aderir a uma chamada.
- GoToMeeting, Google Meet e Zoom – Estes serviços funcionam praticamente da mesma forma e oferecem segurança semelhante. Eles são úteis para videoconferência com grupos maiores de pessoas. GoToMeeting é baseado na web, o que significa que tudo acontece no seu navegador da web. O Zoom requer a instalação de um aplicativo nativo. O Hangouts Meet, a versão do Google, funciona de qualquer maneira. Os códigos de convite são enviados aos participantes para participar das chamadas. O anfitrião tem muito controle sobre os privilégios e permissões dos participantes. A criptografia TLS é usada em trânsito, mas as chamadas não são criptografadas de ponta a ponta entre os usuários. GoToMeeting, Google e Zoom têm acesso ao conteúdo da chamada quando ela chega aos seus servidores.