Skype — Да, мы читаем все, что Вы пишете

Тема в разделе "Интернет", создана пользователем Vladimir, 19 май 2013.

  1. Vladimir

    Vladimir Мастер

    Skype — Да, мы читаем все, что Вы пишете / Хабрахабр

    Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.

    Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.

    Было замечено, что после передачи в теле сообщения ссылки, генерируется необычный для неё трафик, распознаваемый сервером как потенциальная атака повторного воспроизведения.
    В тоже время IP адрес, с которого «злоумышленник» пытается получить доступ по ссылке, принадлежит Microsoft.

    Была предпринята попытка подтвердить подозрение, для чего в теле сообщения были отосланы две тестовых https ссылки. Одна содержала информацию для авторизации в системе (логин/пароль), а другая вела на приватный сервис файлообмена, базирующийся в облаке. Несколько часов спустя после отправки сообщения в логе был зафиксирован следующий запрос на сервер:

    <code> 65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"</code>

    Согласно Utrace, IP адрес принадлежит Microsoft.

    Таким образом, после передачи https ссылок через Skype сервер активно получает запросы с сервера Microsoft. В основном ссылки ведут на зашифрованные страницы, содержащие идентификатор сессии, или другую приватную информацию. Самое интересное, что не зашифрованные http ссылки не были посещены славной компанией.

    В данном примере Microsoft использовала оба приёма — запрос к серверу содержал как отосланную пару логин-пароль, так и специально сгенерированный url на личный файлообменник.
    Данные исследования были отправлены в Skype, однако в ответ получили лишь ссылку на Положение о конфиденциальности в Skype.
    «Skype может использовать механизмы автоматического распознавания в мгновенных и SMS-сообщениях, чтобы идентифицировать (a) потенциальный спам и/или (b) URL-адреса, которые ранее были помечены как веб-сайты спама, фишинга или мошенников. В некоторых случаях Skype может отобрать и вручную проверить мгновенные или SMS-сообщения с целью предотвращения спама.»​
    Представитель компании подтвердил, что Miсrosoft сканирует сообщения с целью выявления спама и фишинговых страниц. Однако объяснение не вписывается в факты, подтвержденные практикой.

    • Спамовые и фишинговые сайты обычно не используют https протокол, однако именно эти ссылки были посещены представителями компании в обход обычных http страниц, не содержащих приватных данных в ссылках.
    • Интересно отметить, что Skype использует метод head для формирования запроса к серверу, который, по сути, просто извлекает информацию о валидности ссылки.


    Однако для проверки на спам или фишинг Skype необходимо анализировать контент страницы.
    Еще в январе 2013 гражданская правовая группа в составе Electronic Frontier Foundation и Reporters without Borders отправили Microsoft открытое письмо. В нём компании выразили беспокойство, что после реструктуризации Skype, последний вынужден следовать букве закона США и предоставлять доступ государственным агентствам и секретным службам к приватной информации пользователей.

    В заключении хотелось бы отметить, что Microsoft, вопреки здравому смыслу, использует передаваемую через Skype информацию так, как им вздумается. Всем пользователям Skype необходимо задуматься, к чему это может привести, а пока компания совершенно не намерена раскрывать своих планов по использованию полученных приватных данных.

    Источник The-H-Security.




    PS да, подобная статья уже была, тут больше описания
     
  2. BigBoss

    BigBoss Мастер

    Читал уже в другом источнике об этом. Я думаю и так вроде ясно, что содержание аськи, скайпа доступны держателям ресурса... И естественно, владельцы ресурса этого не признают...
     
  3. Crot

    Crot Мастер

    Почта gmail тоже мониторится. Как инфу передавать?
     
  4. Pasha

    Pasha статус №{month}

    личная встреча; впн, внутрисетевые месенджеры, или криптующие плагины к общественным. больше никак.
     
  5. niki59

    niki59 Профессионал

    Если очень конфиденциальную информацию по почте надо переслать, то я архивирую и под пароль. Ну а пароль уж как нибудь сообщить можно адресату.:)
     

Поделиться этой страницей