Skype: Link-Überprüfung wurde offenbar abgestellt

Anfang der Woche wurde bekannt, dass die Chat-Kommunikation bei Skype erfasst wird und Microsoft bzw. der VoIP-Anbieter jene Links quasi mitlesen, die sich Nutzer gegenseig schicken. Nun wurde diese Praxis scheinbar abgestellt.

Am Dienstag wurde bekannt, dass Microsoft bei Links auf Skype eine Überprüfung auf Spam, Phishing und/oder Malware vornimmt, was auch durch die Nutzungsbedingen des Dienstes abgedeckt ist. Für einiges an Verwunderung hat allerdings der Umstand gesorgt, dass dabei https-URLs gecheckt worden sind und nicht etwa http-Links, hinter denen man Spam und Co. eigentlich erwarten würde.

Wie Heise nun berichtet, haben Microsoft und Skype diesen Link-Check mittlerweile abgestellt. Bei einer neuerlichen Überprüfung mit unterschiedlichen Versuchsanordnungen und Servern wurden keine HEAD-Requests von Microsoft mehr erfasst.

Eine genaue Stellungnahme zu dem URL-Check hat Microsoft nicht abgegeben, am ersten Tag der Angelegenheit hatte man darauf verwiesen, dass es sich hierbei um Schutzmaßnahmen handle, die die Skype-Nutzer vor unter anderem bekannten Malware-Seiten schützen sollen. Dabei war allerdings die Frage aufgekommen, warum ausgerechnet https-URLs und somit auch etwaige darin eingebettete vertrauliche Informationen (Session-IDs, Benutzerkennungen) gecheckt werden.


In einer separaten Analyse wundert sich Heise-Autor Jürgen Schmidt aber auch nach der Abstellung dieser Praxis über die Beweg- und Hintergründe dieses Vorgehens. Dabei werden etwa auch Spekulationen aufgegriffen, dass Microsofts SmartScreen-Technologie dahinter stecken könnte, diese aber als unwahrscheinlich verworfen.

Das wahrscheinlichste Szenario ist also, dass es sich tatsächlich um eine gut gemeinte, aber schlecht ausgeführte Schutzfunktion handelt, meint Heise, wo man dem Redmonder Unternehmen nahelegt, sich Kosten und Nutzen einer derartigen Überwachung noch einmal zu überlegen.
Diese Nachricht empfehlen
Videos zum Thema
 
Schade, dass man auf der Heise-Seite (zumindest bei der im Artikel verlinkten Analyse) nicht kommentieren kann. Ehrlich gesagt überzeugt mich die Analyse von Herrn Schmidt nicht, denn seine Argumente gegen Phishing-Analyse sind nicht unbedingt stichhaltig. Er bemängelt z.B., dass die Überprüfung nicht unmittelbar nach dem Versand des Links erfolgt, da sonst der Schutz vor kurzfristig verfügbaren Phishing-Seiten zu gering ist. Sicherlich ist dieses Argument nicht ganz falsch, allerdings kann der Zeitversatz ganz einfache technische Gründe haben. Bei einer vermutlich sehr großen Anzahl an zu prüfenden Links, wäre es nicht ungewöhnlich, wenn diese asynchron geprüft würden oder gar der Chat-Verkehr asynchron analysiert wird. Dass zur vollständigen Bewertung der Links tatsächlich Seiteninhalte benötigt werden, ist korrekt, ebenso, dass diese per HEAD-Request nicht abgerufen werden. Allerdings ist Herr Schmidt noch nicht auf die Idee gekommen, dass der Verbindungsaufbau zur URL der Prüfung der bei SSL verwendeten Zertifikate dienen könnte. Wird bei dieser Prüfung festgestellt, dass die Certificate Chain in Ordnung ist, ist es - wie Heise selbst schreibt - recht unwahrscheinlich, dass es sich um eine Schadseite handelt. Die Prüfung des Seiteninhalts durch SmartScreen erfolgt dann evtl. zeitversetzt oder - je nach Zertifikat - gar nicht. Zu guter Letzt leidet die vermeintlich sachliche Analyse darunter, dass Herr Schmidt zwar betont, dass es sich höchstwahrscheinlich um eine Schutzfunktion seitens Microsoft handelt, er die Zugriffe aber dennoch als Fiasko bezeichnet. Hier sollte sich ein Security-Spezialist tatsächlich die Frage stellen, wie - und vor allem ob - bei einer Technologie wie sie ein Phishing-Filter darstellt, die "Privatsphäre" überhaupt gewahrt werden kann bzw. ob eine automatisierte Prüfung von Links zum Schutz eines Anwenders überhaupt ein Eingriff in die Privatsphäre ist.
 
@HeadCrash: So viel Text für so wenig Inhalt? Wozu eine SSL-Zertifikatsprüfung bei unverschlüsselten Seiten? Und wo sind die ominösen, von dir vermuteten späteren Aufrufe für Smartscreen-Checks? Und vor allen Dingen: Wenn sich Microsoft nichts vorwerfen müsste, warum haben die Zugriffe nach der Offenlegung plötzlich aufgehört?
 
@Jean-Paul Satre: Seit wann sind Seiten mit SSL unverschlüsselt? Hier werden Zugriffe auf HTTPS-Links (HTTPS = HTTP + SSL = Verschlüsselung bei der Übertragung) bemängelt. Und ein Verbindungsaufbau zur Seite ist die einzige Möglichkeit, das Zertifikat zu prüfen. Vielleicht solltest Du meinen Text mal genauer lesen ;-) Wo die weiteren Aufrufe sind? Keine Ahnung. Vielleicht sind die noch nicht erfolgt, vielleicht hat Heise sie nicht gesehen, weil sie nach der Feststellung, dass HEAD-Requests gemacht wurden, aufgehört haben, ihre Logfiles nach MS-IPs zu durchsuchen? Vielleicht kann der Zugriff nicht mehr erfolgen, da die URLs ja - wie Heise schreibe - speziell nur für diesen Test eingerichtet und evtl. danach wieder abgeschaltet wurden? Oder es erfolgt bei HTTPS-Links mit korrektem Zertifikat kein Zugriff mehr, da es wohl mehr als unwahrscheinlich ist, dass sich eine Phishing-Seite ein gültiges Zertifikat zulegt und damit ihre Identität preisgibt. Ich kann Dir das nicht beantworten. Das sind genauso nur Annahmen wie die, die Herr Schmidt da trifft. Woher wollen wir denn sicher wissen, dass die Zugriffe aufgehört haben? Laut Heise wurden ja auch keine HTTP-Links gescannt und jetzt heißt es, dass es doch Berichte gab, dass diese ebenfalls gescannt wurden. Wer weiß also, in welchem zeitlichen Abstand der Scan erfolgt? Oder evtl. ändert MS gerade was an dem System.
 
@HeadCrash: Du hast Recht: Ich hatte bei Heise überlesen, dass die Zugriffe ausschließlich auf https-Links erfolg(t)en. Aber ansonsten: Herr Schmidt hat schon mal die Referenz, als Redakteur für Heise zu schreiben. Du hast die Referenz, als MS-Fanyboy für die Winfuture-Comments zu schreiben. Da isses echt schwer zu entscheiden, wem ich mehr Glauben schenke.
 
@Jean-Paul Satre: Na, die Entscheidung überlasse ich Dir :-) Und falls es Dir hilft: ich hab mein Leben lang mit IT quer durch alle Systeme zu tun gehabt, hab über 10 Jahre Software aller Art entwickelt (Logistiksysteme, Bestellsysteme, PDA- und embedded Systeme) und berate seit nunmehr seit knapp fünf Jahren Unternehmen aller Arten und Größen im Bereich Softwareentwicklung, Application Lifecycle Management und Softwareentwicklungsprozessen wie Scrum. Und ja, das Thema Security ist mir dabei mehr als einmal über den Weg gelaufen.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Beliebte Videos

powered by veeseo

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles