Skype är en av de äldsta och mest populära röst- och videochattjänsterna på internet. I mars 2020 avslöjade Microsoft att Skype hade 40 miljoner dagliga aktiva användare. Även om många konkurrenter har dykt upp är Skype fortfarande populärt över hela världen.
Så är det säkert? Är det privat? Vad bör Skype-användare vara medvetna om när de ringer samtal och skickar meddelanden? Jag ska besvara alla dessa frågor i den här artikeln. Jag kommer främst att täcka standardprogrammen för Skype och inte Skype for Business.
Microsofts datainsamling
Microsoft förvärvade Skype 2011, så Skype delar en integritetspolicy med alla andra konsumentprodukter från Microsoft. Det krävs ett Microsoft-konto för att använda Skype. Tyvärr gör detta att Skypes datainsamlingsmetoder är mycket ogenomskinliga. Skype nämns inte ens uttryckligen i Microsofts sekretessförklaring, och i den förklaringen anges inte ens vilken information som samlas in.
Med detta sagt kan vi tolka sekretessförklaringen för att härleda några av de uppgifter som Microsoft samlar in om Skype-användare.
En Skype-profil består av:
- Profilbild
- Användarnamn
- Passord
- E-postadress
- Bostad
- Födelsedatum
- Kontaktlista
Om du använder Skype för att ringa till telefoner kommer Microsoft också att kräva din betalningsinformation.
Microsoft registrerar också användarinteraktioner, vilket kan omfatta:
- Vem du ringer
- Samtalets tid och längd
- Chathistorik
- Sända och mottagna filer
- Telefonnummer som du ringer upp
- Aktivitetsstatus
Microsoft säger att det också får uppgifter om användare från tredje part, vilket kan omfatta datamäklare.
Microsoft använder personuppgifter för riktad reklam, personalisering, forskning och utveckling samt för att förbättra sina produkter. Dina uppgifter delas med Microsofts dotterbolag, dotterbolag och leverantörer. Företaget kan också lämna ut dina uppgifter som svar på en rättslig begäran.
Du kan hantera en del men inte alla uppgifter som Microsoft har om dig med hjälp av dess instrumentpanel för sekretess online.
Tillgänglighet
Skype gör som standard att användarna är lätta att hitta genom sökfunktionen. Om du inte vill visas i sökresultat eller rekommendationer kan du inaktivera det här alternativet i dina profilinställningar.
Inställ 2FA
Microsoft erbjuder alla kontoinnehavare möjligheten att ställa in tvåfaktorsautentisering. Jag rekommenderar starkt att du gör det, eftersom det avskräcker potentiella hackare.
Tvåfaktorsautentisering, även kallad tvåstegsverifiering, kräver att du anger en engångskod som skickas via e-post, sms eller autentiseringsapp, utöver ditt lösenord.
Du kan också välja att logga in med en säkerhetsnyckel, som vanligtvis kommer i form av en USB-enhet som måste kopplas in när du loggar in på ditt konto.
Samtalsinspelning
Deltagare i Skype-till-Skype-samtal kan spela in samtalen och lagra dem på Microsofts servrar i upp till 30 dagar. Detta är en inbyggd funktion. Under den tiden kan de ladda ner videon för att använda den som de vill. Alla deltagare får en varning om ett samtal spelas in. Skärmdelning spelas också in.
Kryptering
Skype använder inte end-to-end-kryptering som standard. Det innebär att varje meddelande, samtal och fil kan ses av Microsoft.
Men från och med 2018 erbjuder Skype end-to-end-kryptering om du använder funktionen ”Privat konversation”. Om du vill starta en privat konversation väljer du ”Ny privat konversation” i komponeringsmenyn eller i mottagarens profil. Mottagaren får en inbjudan och alla samtal och meddelanden i den konversationen krypteras end-to-end tills de avslutas. Observera att användare endast kan delta i en privat konversation per enhet åt gången. Du kan växla den privata konversationen till en annan enhet, men allt som skickas och tas emot kan endast nås på den enhet som används för tillfället.
Som standard är röst, video, text och filer som skickas mellan Skype-användare krypterade, men endast mellan din enhet och Microsofts servrar. Dessa data dekrypteras när de når servern, vilket gör det möjligt för Microsoft att snoka om de vill. Med tanke på Microsofts historia med NSA är det bäst att anta att inget du gör på Skype hålls privat.
För varje samtal du ringer skapar din Skype-klient en unik 256-bitars AES-krypteringsnyckel för den sessionen. Denna sessionsnyckel existerar så länge kommunikationen pågår och under en bestämd tid efteråt, enligt företaget. När du ringer ett samtal överför Skype sessionsnyckeln till den person du ringer till och sessionsnyckeln används sedan för att kryptera meddelanden i båda riktningarna. Återigen är detta inte end-to-end-kryptering.
Samtal mellan Skype och vanliga fasta telefoner eller mobiltelefoner krypteras inte alls. Voicemail krypteras när du laddar ner dem, men de lagras som en okrypterad fil på din enhet.
Microsoft pingar webbadresser
I 2013 visade en undersökning av Ars Technica att Skype ”regelbundet skannar meddelandets innehåll för att hitta tecken på bedrägeri, och företagsledare kan logga resultaten på obestämd tid”. Och detta kan bara ske om Microsoft kan omvandla meddelandena till människoläsbar form när som helst.”
En del av utredningen där en säkerhetsforskare skapade speciellt utformade webbadresser som skickades över Skypes IM-system, motverkar Skypes påståenden från 2007 om att det inte går att genomföra avlyssning på grund av stark kryptering och komplexa peer-to-peer-nätverksanslutningar.
Malware
Skype är måltavla för vissa typer av skadlig kod samt ett distributionsmedium för andra typer av skadlig kod. Även om alla kända säkerhetssårbarheter i Skype har åtgärdats, tar vi upp några tidigare incidenter här:
I februari 2016 avslöjade forskare vid Palo Alto Networks att en skadlig kod vid namn T9000 riktade sig specifikt mot Skype-användare. När programvaran väl är installerad kan den spela in video- och ljudsamtal från Skype och ladda upp dem tillsammans med textchattar till en server. Det finns dock en invändning. Även om den skadliga programvaran är installerad måste användaren ge uttryckligt tillstånd för att den ska få tillgång till Skype, även om den maskerar begäran så att användaren inte vet att den är skadlig. ”Offret måste uttryckligen tillåta skadlig kod att få tillgång till Skype för att denna speciella funktionalitet ska fungera. Men eftersom en legitim process begär åtkomst kan användaren tillåta denna åtkomst utan att inse vad som faktiskt händer. När den är aktiverad kommer skadlig kod att spela in videosamtal, ljudsamtal och chattmeddelanden”, säger forskarna.
Det bästa sättet att förhindra skadlig kod är att hålla Skype och ditt operativsystem uppdaterade. Antivirus är också till hjälp.
Spam och nätfiske
Skype är gammalt, vilket innebär att det finns många övergivna konton där ute. Om en cyberkriminell lyckas kapa ett av dessa konton kan de använda det för att sprida skadlig kod och phishinglänkar till alla i kontots kontaktlista. Detta förvärras av användare som inte granskar sina kontakter och accepterar förfrågningar från främlingar.
Under 2019 spreds det skadliga programmet Rietspoof främst genom skräppost från Skype. Detta var en trojan som var utformad för att infektera system så att den kan ladda ner mer påträngande och potent skadlig kod.
Säkerhetsföretaget F-Secure avslöjade 2016 att brottslingar utgav sig för att vara amerikanska tjänstemän som erbjöd hjälp till schweiziska medborgare att hitta information om hur man ansöker om visum för att besöka USA. De lurade offren att ladda ner det skadliga programmet QRAT.
En enkel regel kommer att förhindra att du någonsin faller offer för skräppost och nätfiske på Skype: klicka aldrig på oönskade länkar eller bilagor, särskilt inte från kontakter som du inte har kommunicerat med på ett tag.
Skype avslöjar IP-adresser
Skype-användare kan ta reda på uppringarnas IP-adresser genom att helt enkelt räkna upp alla TCP-anslutningar till din enhet. Detta kan till exempel göras med ett enda kommando i Windows kommandotolk.
En IP-adress är en unik sekvens av siffror och decimaler som identifierar en enhet och dess plats.
En IP-adress i sig själv kanske inte är särskilt värdefull, men tillsammans med annan personlig information kan den användas mot någon. En lösning på detta är att använda en VPN för att dölja din verkliga IP-adress.
TOM Skype
I mars 2013 avslöjade Jeffrey Knockel, en doktorand i datavetenskap vid University of New Mexico, att den speciella version av Skype som kinesiska användare tvingas använda – den så kallade TOM Skype – gör det möjligt för den kinesiska regeringen att samla in information om användarna, bland annat om deras politiska övertygelse, och att censurera vad de kan säga till varandra.
I maj samma år rapporterade den ansedda ryska publikationen ”Vedomosti” att både den nationella säkerhetsmyndigheten och polisen kan avlyssna Skype-samtal utan att ens lämna in ett domstolsbeslut.
Skype-alternativ
Jag listar några av Skypes många alternativa VoIP-appar från säkrast till osäkrast:
- Signal: Om du bara behöver ringa en person är Signal det säkraste alternativet. Det är en meddelandeapp som prioriterar säkerhet och integritet framför allt. Alla samtal och meddelanden är krypterade från början till slut om inte den andra parten använder vanliga SMS- eller MMS-textmeddelanden. Den stöder dock endast samtal mellan två användare.
- Facetime: Facetime stöder gruppsamtal med upp till 32 personer. Det är en av de enda appar för videokonferenser som erbjuder end-to-end-kryptering vid samtal med fler än två personer. Du behöver dock en nyare iPhone eller iPad för att använda den. iMessage används för textmeddelanden. Ingen identifieringsinformation lagras av Apple förutom vem som ringdes upp och nätverkskonfigurationer, som lagras i 30 dagar.
- WhatsApp – WhatsApp är en populär meddelandeapp världen över och använder Signals säkra kommunikationsprotokoll för att kryptera röst- och videosamtal slut till slut mellan användare. Det är inte riktigt lika härdat som Signal, men det är mer bekvämt. Textmeddelanden krypteras på samma sätt. Upp till fyra personer kan delta i ett videosamtal.
- Google Duo: Den här appen finns tillgänglig för smartphones eller i en webbläsare. Den krypterar alla samtal från början till slut så att Google inte har tillgång till samtalsinnehållet. Google samlar dock in en hel del annan information om kontoinnehavare. Upp till 12 personer kan delta i ett samtal.
- GoToMeeting, Google Meet och Zoom: Dessa tjänster fungerar i stort sett på samma sätt och erbjuder liknande säkerhet. De är användbara för videokonferenser med större grupper av personer. GoToMeeting är webbaserad, vilket innebär att allt sker i din webbläsare. Zoom kräver att man installerar en inhemsk app. Hangouts Meet, Googles version, fungerar på båda sätten. Inbjudningskoder skickas ut till deltagarna för att de ska kunna delta i samtalen. Värden har stor kontroll över deltagarnas privilegier och behörigheter. TLS-kryptering används under överföringen, men samtalen krypteras inte från början till slut mellan användarna. GoToMeeting, Google och Zoom har tillgång till samtalsinnehållet när det når deras servrar.