Skype scannt https-Links und ruft deren URLs auf

Bild von Tw3ntyThr33
Tw3ntyThr33 2662 EXP - 14 Komm-Experte,R6,J7
Dieser User unterstützt GG mit einem Abonnement oder nutzt Freimonate via GG-Gulden.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertBronze-Jäger: Hat Stufe 5 der Jäger-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtStar: Hat 1000 Kudos für eigene News/Artikel erhaltenFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdientVorbild: Hat mindestens 100 Kudos erhaltenTop-News-Schreiber: Hat mindestens 5 Top-News geschriebenSammler: Hat mindestens 50 Spiele in seiner Sammlung

14. Mai 2013 - 21:01 — vor 3 Jahren zuletzt aktualisiert
In den Nutzungsbedingungen von Skype räumt sich Microsoft unter anderem das Recht ein, Sofort-, Sprach- und Videonachrichten zur Informationsgewinnung zu nutzen. Nun wurde bekannt: Skype scannt unter anderem automatisiert https-Links, die per Sofortnachricht verschickt werden.
 
heise.de überprüfte den Hinweis eines Lesers und versandte via Skype-Sofortnachricht https-Links, die also auf einen Server mit SSL-Verschlüsselung verwiesen. In einem der Links befanden sich Login-Daten, ein anderer führte zu einer privaten Dateifreigabe durch einen Cloud-Dienst. Und siehe da: Wenig später erfolgten Zugriffe auf die Test-URLs von einer IP, die auf Microsoft registriert ist. Heise hakte bei Skype nach und wurde auf die Datenschutzrichtlinien des Dienstes verwiesen. Diese besagen unter anderem:
Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden. In Ausnahmefällen zeichnet Skype unter Umständen Sofortnachrichten und SMS auf, um diese im Rahmen seiner Bemühungen zur Reduzierung von Spam manuell zu überprüfen.
Laut eines Unternehmenssprechers geht es also einzig und allein darum, die Nutzer des Netzwerkes vor Spam und Betrug durch Phishing zu schützen. Merkwürdig ist allerdings, dass Derartiges selten per https-Links verteilt wird. Stattdessen geschieht dies zumeist über ganz normale http-Links, die jedoch nicht der automatischen Prüfung unterzogen werden. Zudem fragt Skype lediglich Verwaltungsinformationen des betreffenden Servers ab, prüft also nicht den Inhalt der Seiten, auf die die Links verweisen. Dies wäre aber zwingend notwendig, um tatsächlich die angesteuerten URLs auf Spam und Phishing zu scannen.
 
Dieses Beispiel zeigt, dass sich Instant-Messaging-Clients absolut nicht eignen, um vertrauliche Daten weiterzugeben.
Killer Bob 18 Doppel-Voter - 11638 - 14. Mai 2013 - 21:19 #

Na sowas, schnarch...

Labrador Nelson 27 Spiele-Experte - - 86491 - 17. Mai 2013 - 0:26 #

^^

Zaunpfahl 19 Megatalent - P - 14325 - 14. Mai 2013 - 21:34 #

Der Hinweis ist sicherlich wichtig und angebracht, aber wie im letzten Ansatz schon beschrieben nicht wirklich etwas neues.

In den ICQ AGBs befand sich schon zu AOL Zeiten ein Passus, der in etwa lautete "Sämtliche über ICQ geteilten Ideen können zu Eigentum von AOL werden und können von AOL weiter verwendet werden. Dies enthält auch die Nutzung für Anmeldungen zum Patent durch AOL". Ist jetzt aus dem Gedächtnis gekramt, aber so in etwa stand es da. Natürlich in juristen-denglisch verpackt und besser formuliert.

URL Scanning ist da also noch vergleichsweise harmlos und noch einigermaßen nachvollziehbar, da ja auch immer wieder wirklich Spambots unterwegs sind/waren die einen bitten doch irgendwo mal seine Login Einstellungen zu überprüfen. Ganz frei davon, ob das für die Nutzer letztlich was gutes bedeutet oder nicht in einem größeren Rahmen.

vicbrother (unregistriert) 15. Mai 2013 - 11:10 #

Ja, daran kann ich mich auch erinnern. Gibts AOL überhaupt noch?

Hemaehn 16 Übertalent - 4560 - 14. Mai 2013 - 21:40 #

Jörg liest hier auch mit, was ich schreibe ^^
Und was benutzt man dann als Alternative, wenn man überall überwacht wird?
Und damit mein ich jetzt nicht sich in privaten Räumen (die man auf Wanzen etc. untersucht hat) zu treffen..

Name23 (unregistriert) 14. Mai 2013 - 22:08 #

überall überwacht wird.. köstlich.
ja, schon schlimm, wenn irgendnen automatisiertes programm irgendwas anonym speichert, gell.

CptnKewl 20 Gold-Gamer - - 22482 - 14. Mai 2013 - 22:25 #

Wer sagt denn, das die Speicherung anonym passiert?

Hemaehn 16 Übertalent - 4560 - 14. Mai 2013 - 22:28 #

Das dachte ich mir auch, aber das war schon so ein trollwürdiger Kommentar, da hab ich mir den Kommentar erspart.

Icy 12 Trollwächter - 1033 - 14. Mai 2013 - 22:15 #

Man könnte sich in privaten Räumen treffen, sollte diese aber vorher auf Wanzen und ähnliches untersuchen.

Da ich schon länger kein Instant Messaging mehr nutze, kann ich es nicht genau sagen, aber man könnte natürlich alle Nachrichten verschlüsselt übersenden, z.B. via

http://en.wikipedia.org/wiki/Off-the-Record_Messaging

(da steht im Artikel für welche IM Clients das verfügbar ist.) Das Ǵanze gilt aber wohl nur für Text ;).

Wichtig wäre das der Schlüsselaustausch der einzelnen Personen über sicher Kanäle geht.

EDIT: Ich finde es auch gar nicht wirklich schlimm das sowas passiert. Das Problem ist das nicht jeder mitbekommt das Daten auf diese Art und Weise genutzt werden (können). Und das nicht klar ist was genau damit gemacht wird ;)
(Warum zum Beispiel interessiert sich Microsoft/Skype für Links die über ssl/https gehen? Die "Erklärung von Microsoft wirkt halt einfach sehr fadenscheinig, wie auch im Artikel selbst steht)

lis (unregistriert) 14. Mai 2013 - 22:23 #

Ist es nicht Sinn gewisser Ideen hinter OTR (oder anderer Verfahren, Public-Key oder was es alles gibt), dass es keinen sicheren Kanal geben muss?

Icy 12 Trollwächter - 1033 - 14. Mai 2013 - 22:40 #

Ok wie gesagt 100% sicher bin ich mir nicht, müsste man sich nochmal genauer einlesen...

Wenn es ein Public Key Verfahren ist, sollte es ok sein wenn der öffentliche Schlüssel über einen unsicheren Kanal übertragen wird.

EDIT: Da OTR Messaging "Diffie–Hellman key exchange" nutzt dürfte man die Schlüssel über unsichere Kanäle austauschen können. Ich hatte OTR vor ein paar Jahren mal genutzt, damals haben wir die Schlüssel wenigstens nicht übers Internet (also einen anderen trotzdem eher unsicheren Kanal) getauscht. Kann sein das ich da was durcheinander gebracht habe ;)

lis (unregistriert) 14. Mai 2013 - 23:10 #

Am Telefon vorgelesen, per Post geschickt? :)
OTR habe ich auch vor einer ganzen Weile mal benutzt, war nicht einmal unkomfortabel, meine ich.

Jedenfalls zeigen diese Beispiele, dass sich Instant-Messaging-Clients durchaus eignen können, um vertrauliche Daten weiterzugeben.

Icy 12 Trollwächter - 1033 - 14. Mai 2013 - 23:40 #

Ne durch den Raum geschrien ;=)

lis (unregistriert) 14. Mai 2013 - 23:50 #

Hachja, das hätte durchaus auch eine Station meines Lebens sein können. :D

Hemaehn 16 Übertalent - 4560 - 14. Mai 2013 - 22:23 #

Hey, der erste Vorschlag ist gut (der mit dem Treffen und den Wanzen)
Glaub das mach ich mal.

Glaube die wenigsten kriegt man sowieso dazu, sowas zu benutzen. Man ist ja schon in der Minderheit, wenn man kein Whatsapp benutzt.

Mir geht es auch eher um die Sache in deinem Edit.
Soweit ich weiß, steh ich ja bei Whatsapp irgendwo drin, weil Freunde von mir das benutzen und mich in ihren Kontakten haben. Mit welchem Recht machen die das?
Das stört mich einfach.
Welche Daten sammeln die und warum und was passiert damit, das bleibt einfach viel zu oft verborgen.

CptnKewl 20 Gold-Gamer - - 22482 - 14. Mai 2013 - 22:25 #

Lync, oder Openfire? Bzw. nen Jabberclient/Server der die Verschlüsselung End-To-End Supported.

Es ist außerdem ein Unterschied ob ich was direkt in den "Raum" broadcaste oder vermeintlich vertraulich kommuniziere.

Tassadar 17 Shapeshifter - 7747 - 15. Mai 2013 - 0:38 #

Jabber.

ridcully 11 Forenversteher - 800 - 15. Mai 2013 - 5:36 #

Und dann am besten mit eigenem Server. Wenn dann alle Unterhaltungen nur auf dem eigenen Server laufen, ist man der einzige, der Abhören könnte...

Zaunpfahl 19 Megatalent - P - 14325 - 15. Mai 2013 - 19:15 #

Geht aber auch verschlüsselt über einen öffentlichen Server. Jabber crypted Client-seitig schon. Der Server stellt dann nur die Verbindung zwischen beiden Clients her. Klar, noch mehr Sicherheit bietet der eigene Server.

vicbrother (unregistriert) 15. Mai 2013 - 11:12 #

Man schreibt Briefe?

Makariel 19 Megatalent - P - 13446 - 15. Mai 2013 - 11:43 #

Grad letzte Woche wieder 3 geschrieben. So ziemlich das sicherste Kommunikationsmittel dieser Tage ;-)

Zaunpfahl 19 Megatalent - P - 14325 - 15. Mai 2013 - 19:18 #

nicht unbedingt... ;)

http://www.antenne.de/Brieftraeger-hortet-Hunderte-Briefe-in-seiner-Garage__aktionen_619055_radio.html

Stiefel (unregistriert) 14. Mai 2013 - 22:36 #

Ganz abstrus find ich die Erklärung nicht. Es wird ja beschrieben, dass der eigentliche Inhalt der https Webseiten nicht abgerufen wird, sondern letztendlich nur die Verbindung aufgebaut.

Es könnte sein, dass Microsoft schlicht und einfach nur auf der Suche nach gefälschten SSL/TLS Zertifikaten ist. Es kam ja in den letzten Monaten/Jahren schon ein paar mal vor, dass root CAs kompromitiert wurden und von denen Zertifikate für populäre Webseiten wie Google oder sonstwas ausgestellt wurden. Wenn jemand mit so einem Zertifikat eine Spoof-Google Seite aufbaut und Leute darauf umlenkt ist es für den Browser des angegriffenen nicht möglich anhand des Zertifikats die Seite als fake zu erkennen.

Und jetzt schließt sich der Kreis: Es kann durchaus sein, dass solche Spoofing Angriffe dann über Instant Messenger wie Skype gestartet bzw. verbreitet werden. Und wenn Microsoft automatisch die SSL/TLS-Zertifikate checkt wären sie zumindest frühzeitig informiert und könnten dagegen vorgehen.

Wie gesagt, ich finds nicht vollkommen absurd, was Microsoft wirklich macht weiß nur Microsoft.

Freeks 16 Übertalent - 5530 - 14. Mai 2013 - 22:44 #

Gegen die Sicherheitstheorie spricht dann aber wieder, dass Redmond nur die https links überprüft jedoch die http links ignoriert. Wenn schon aus Gründen der Sicherheit, dann ordentlich. So wirkt es einfach nur scheinheilig.

Stiefel (unregistriert) 14. Mai 2013 - 22:59 #

Das ist doch Quatsch, wenn es nur ums Überprüfen von Zertifikaten geht, was sollen sie auf normalen http-Seiten?
Sie können ja trotzdem alle URLs gegen Blacklists prüfen, dazu muss die Seite nicht besucht werden und dementsprechend kann man es auch auf die Art nicht feststellen.

CptnKewl 20 Gold-Gamer - - 22482 - 14. Mai 2013 - 23:15 #

Phishing findet doch nicht auf SSL-Secure Seiten statt, zumindest nicht im DAU-Bereich.
Daher müsste dann auch der Content gecheckt werden

Tw3ntyThr33 14 Komm-Experte - P - 2662 - 14. Mai 2013 - 23:17 #

Wenn es nur ums Überprüfen von Zertifikaten geht, warum sagen sie dann nicht genau das, sondern reden was von Spam- und Phishing-Abwehr?

Stiefel (unregistriert) 15. Mai 2013 - 0:26 #

Weil es dabei um Phishing geht vielleicht? Und natürlich nennen sie keine technischen Details, man lässt sich bei der Gefahrenabwehr nunmal ungern in die Karten schauen.

Aber nochmal: Ich hab natürlich keinen Schimmer was Microsoft wirklich macht, ich sag nur, dass es potentiell gute Gründe gäbe etwas zu machen, was mit den aufgedeckten "Symptomen" in Einklang steht.

ChuckBROOZeG 19 Megatalent - 18734 - 15. Mai 2013 - 0:42 #

Welche Gefahr geht von einem Server aus der ein selbst erstelltes Zertifikat hat? Es macht überhaupt gar nicht für jeden Sinn sich bei einer Stammzertiiktsstelle "einzukaufen".

Und vor allem was macht MS bzw Skype mit der Info das da ein SSL Zertifikat nicht von einer großen Firma vergeben wurde?

Mehr wissen sie ja durch diese Anfrage auch nicht. Mit Phishingshutz kann das schlecht was zu tun haben.

Anonhans (unregistriert) 15. Mai 2013 - 13:41 #

Ich glaube er meint nicht, dass die Zertifikate selber erstellt wurden oder nicht von den großen CAs kommen, sondern dass es bei den großen CAs Sicherheitsprobleme gab, die dazu geführt haben, dass es gefälschte Zertifikate gibt, die aussehen, als würden sie von den großen CAs kommen, die in allen unseren Browsern als vertrauendwürdige Zertifizierungsstellen eingetragen sind.
Wenn man seine Phishing-Seite SSL-verschlüsseln kann, ohne das der Browser rummeckert, weil das Zertifikat gefälscht ist und auf den ersten Blick in Ordnung geht, kann ich mir sehr wohl vorstellen, dass das dabei hilft, so ne Seite noch glaubwürdiger aussehen zu lassen.

Stiefel (unregistriert) 15. Mai 2013 - 14:10 #

Zumindest einer versteht mich :D

CptnKewl 20 Gold-Gamer - - 22482 - 15. Mai 2013 - 14:12 #

diese sind doch aber von den CAs nach dem Hack zurückgezogen worden, und sollten jetzt als Ungültig erscheinen

Stiefel (unregistriert) 15. Mai 2013 - 15:19 #

Erstmal kann sowas immer wieder passieren und bleibt oft auch längere Zeit unerkannt und durch das Scanning könnte sowas schneller aufgedeckt werden. Und 2. bringt das zurückziehen erstmal gar nichts, die bleiben solange gültig bis sie bei ner Browseraktualisierung aus dem Rootstore entfernt werden. Und das kann je nach Browser ne Zeit dauern.

CptnKewl 20 Gold-Gamer - - 22482 - 15. Mai 2013 - 17:06 #

die Updates dazu kammen recht schnell...sind auch bei den meisten großen Unternehmen recht flott durch die Validierung gegangen.

ridcully 11 Forenversteher - 800 - 15. Mai 2013 - 5:39 #

Gute Gründe sind ziemlich relativ. Wenn es um die Gewinn-Maximierung geht, ist das aus Sicht des Unternehmens auch ein guter Grund. Aus der Sicht des Kunden muss das nicht wirklich gut sein!

supersaidla 15 Kenner - P - 3891 - 15. Mai 2013 - 6:51 #

AHA! Skype also auch.
DIE SCHWEINE!!!! ;)

DomKing 18 Doppel-Voter - 9240 - 15. Mai 2013 - 14:38 #

Mal ne Frage: Internetkommunikation fällt nicht unter das Postgeheimnis oder?

Oder fehlt da schlicht und einfach mal wieder die gesetzliche Regelung?

CptnKewl 20 Gold-Gamer - - 22482 - 15. Mai 2013 - 17:07 #

die Frage ist, wie das Postgeheimniss aus Deutschland greifen sollte, wenn die Kommunikation über Ausländische Infrastruktur abläuft.

Das Problem findest du im Internet häufig, das lokale Gesetze nicht Anwendbar sind weil das Unternehmen dort nicht sitzt.

Linksgamer 14 Komm-Experte - 1931 - 16. Mai 2013 - 13:37 #

Google baut so ziemlich sein ganzes Geschäftsmodell darauf auf. ;) Allerdings jetzt mit dem Autovervollständigen-Urteil hat's mal nicht geklappt...

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit
Old LionJörg LangerBiGLo0seR
News-Vorschlag: