Det er ingen ende-til-ende-kryptering av Skype-meldinger. Det har blant annet nettstedene The H Security og Ars Technica fastslått etter å gjennomført hver sine tester. For noen oppfattes dette kanskje som at det blir slått ned åpne dører, men det er flere ting ved oppdagelsene som anses som noe merkelig.
I testene har det blitt oppdaget at datamaskiner med Microsoft-eid IP-adresse i noen tilfeller benytter spesielt sammensatte URL-er som har vært oppgitt i Skype-meldingene. Dette ville ikke ha vært mulig dersom kommunikasjonen hadde vært kryptert fra ende til ende. Logger har vist at besøkene først skjer noen timer etter at meldingene har blitt sendt. Både HTTP- og HTTPS-nettsteder skal ha blitt besøkt, selv om det primært er HTTPS-tilfellene som har dukket opp i loggene. Men Microsoft har ikke lastet ned innholdet på sidene. Det dreier seg kun som HEAD-forespørsler.
En typisk loggoppføring er denne, som er gjengitt av The H Security:
_logo.svg.png){kind=logo}
65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"
Nå er det ikke slik at Microsoft har holdt dette skjult. I personvernpolicyen for Skype heter det at Skype kan bruke automatisk skanning innen lynmeldinger og SMS for å identifisere antatt spam eller URL-er som tidligere har blitt forbundet med spam, svindel eller phishing. I noen tilfeller vil meldinger også kunne bli manuelt vurdert av samme årsak.
Dette tyder likevel på at Microsoft har mer kontroll over trafikken enn det som var tilfelle da Skype var basert på mange tusen supernoder som var spredt utover hele verden. I fjor skal disse nodene ha blitt flyttet inn i Microsofts datasentraler, hvor nodene angivelig kjøres på mange tusen Linux-servere.
Det er to faktorer som har fått enkelte til å stusse, nemlig bruken av HEAD-spørringer og det at URL-ene først blir besøkt av Microsoft flere timer etter at den har blitt oppgitt i meldingene. Ingen av delene kan bidra til å forhindre at meldingsmottakerne ledes inn på uønskede sider. Da måtte kontrollen ha skjedd umiddelbart. Med HEAD-spørringene lastes det ikke ned innhold fra de aktuelle websidene. Disse spørringene kan derfor ikke brukes til å avgjøre om en webside inneholder uønsket innhold.
– Problemet akkurat nå er at det er et misforhold mellom personvernet folk forventer og det Microsoft faktisk leverer, sier Matt Green, professor og krypteringsspesialist ved Johns Hopkins University, til Ars Technica.
– Selv om Microsoft bare skanner lenkene med «gode» hensikter, for eksempel for detektering av ondsinnede URL-er, indikerer dette at de kan fange opp noen av tekstmeldingene dine. Og det betyr at de potensielt kan fange opp mange flere av dem, sier Green. I så fall vil Microsoft kunne lagre hele samtaler over tid, for eksempel på vegne av amerikanske myndigheter.
Verken The H Security eller Ars Technica har fått noen i Microsoft eller Skype til å forklare det hele. Ovenfor Huffingston Post gjentar en talsperson for Skype bare tjenestens personvernpolicy om skanning etter uønskede meldinger og URL-er.
Les også:
- [14.10.2013] – Skype granskes etter NSA-lekkasjer
