Korzystając ze Skype'a zgadzamy się, aby aplikacja Microsoftu analizowała wszystkie wpisywane w programie wiadomości. Jak się okazuje, twórcy komunikatora korzystają z tych uprawnień regularnie. Czy można zrobić coś, aby się przed tym bronić?
Jeden z użytkowników Skype'a poinformował serwis heise Security o nietypowych połączeniach internetowych, które zauważył tuż po rozmowie tekstowej przez popularny komunikator. W rozmowie tej znalazły się linki HTTPS prowadzące do serwera tego internauty.
Krótko po zakończeniu konwersacji linki zostały odwiedzone z innego serwera. Po analizie okazało się, że jest on zlokalizowany w głównej siedzibie Microsoftu w Redmond. Serwis heise Security powtórzył eksperyment w kontrolowanych warunkach, z prywatnymi URL-ami.
Kilka godzin po przesłaniu ich za pomocą Skype oba linki zostały odwiedzone. Ponownie źródłem był serwer w kwaterze Microsoftu. Jeden z URL-i prowadził do prywatnego serwisu służącego do udostępniania plików i zawierał dane sesji logowania. Właściciele Skype'a prówali ich użyć.
Komentarz twórców komunikatora do całej sprawy był bardzo ogólnikowy. Stwierdzili oni jedynie, że Skype może wykorzystywać automatyczne procedury skanowania treści w celu identyfikacji spamu oraz linków prowadzących do niebezpiecznych witryn internetowych.
Problem polega na tym, że linki HTTPS nie prowadzą zwykle do takich serwisów. URL-e te wykorzystują mechanizmy szyfrowania i są używane zwykle przez strony wymagające logowania, płatności online itp. Udowodniono, że Skype nie interesuje się zwykłymi, mniej bezpiecznymi linkami HTTP.
Dodatkowo komunikator wysyła do witryn HTTPS żądania typu HEAD, które pozwalają na uzyskanie tylko podstawowych informacji o serwisie. W celu zidentyfikowania spamu czy złośliwego oprogramowania konieczne byłoby przeanalizowanie całej zawartości wspomnianych stron.
Nawet gdyby Skype śledził zwykłe witryny HTTP nie uzyskałby - stosując żądania HEAD - żadnych pewnych informacji, które mogłyby chronić przed phishingiem czy rozsyłaniem spamu. Można więc przypuszczać, że przedstawiciele komunikatora nie podali w swoim oświadczeniu całej prawdy.
Nie jest do końca jasne co Microsoft próbuje robić z pozyskiwanymi informacjami. W Redmond na pewno nie siedzi sztab smutnych panów we flanelowych koszulach i nie analizuje słowo po słowie tego, co wpisujemy do Skype'a. Robią to za nich komputery.
Skuteczność takiej analizy może być mniejsza lub większa. Być może całe zamieszanie jest więc skutkiem błędu systemu informatycznego. Nie można jednak wykluczyć, że w miarę upływu czasu apetyt ludzi z Redmond na nasze prywatne informacje będzie coraz większy.
Na razie Microsoft stosuje to samo tłumaczenie co Google. W Gmailu treści też są analizowane - oficjalnie po to, aby filtrować spam oraz chronić przed złośliwymi linkami. Drugie zastosowanie to targetowanie przekazów reklamowych, czyli dopasowywanie treści boksów AdWords do tematów e-maili.
Jak bronić się przed zakusami gigantów rynku informatycznego? Prostej metody niestety nie ma. Najlepszym pomysłem wydaje się przerzucenie na otwarte, open-source'owe komunikatory i prywatne serwery e-mailowe. Pomocne może być także używanie wirtualnych sieci prywatnych (VPN).