heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Mehr Fakten und Spekulationen zu Skypes ominösen Link-Checks

Mehr Fakten und Spekulationen zu Skypes ominösen Link-Checks

Hintergrund 17.05.2013 13:16 Uhr Jürgen Schmidt

Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch.

Zu Beginn der Woche berichtete heise Security, dass Links, die in privaten Skype-Chat-Sitzungen verschickt werden, kurze Zeit später von einem System von Microsoft besucht werden. Wir beobachteten ausschließlich Zugriffe auf https-URLs. Dabei nutzte Microsoft alle übertragenen Informationen – einschließlich der häufig in https-URLs enthaltenen Session-IDs oder Benutzerkennungen. Die Zugriffe erfolgen via HEAD-Request, fragen also lediglich Verwaltungsinformationen ab, nicht jedoch die Inhalte der Seiten.

Diese Fakten wurden nach der Veröffentlichung von mehreren unabhängigen Experten bestätigt. Auch wenn wir keine Zugriffe auf die ebenfalls verschickten, ungesicherten http-URLs registrierten, liegen mittlerweile glaubwürdige Berichte vor, dass Microsoft diese in manchen Fällen ebenfalls abruft.

Darüber hinaus gab es eine Reihe von Spekulationen, dass es sich um eine Sicherheits-Funktion im Rahmen von SmartScreen-Filter handle. Das ist eine durchaus plausible Arbeits-Hypothese, die allerdings mehr Fragen aufwirft, als sie beantwortet. Das beginnt mit der Frage, warum der Test nicht unverzüglich sondern mit einem zeitlichen Versatz von mehreren Stunden stattfindet. Bei einer aktiven Spam- oder Phishing-Kampagne ist Zeit ein kritischer Faktor; ein Test von mehreren Stunden alten URLs hat bestenfalls noch dokumentarischen Charakter.

Als nächstes stellt sich die Frage, wie Microsoft die Seiten bewerten will, ohne den Inhalt zu kennen. Die Verweise auf eine Reputationsdatenbank sind nicht stichhaltig, wenn für die Seiten – wie bei den speziell für den Test erstellten URLs – bislang keinerlei Referenzdaten vorliegen können. Auch der Hinweis, dass es nur darum ginge, mit dem HEAD-Request eventuelle Weiterleitungen auf bekanntermaßen bösartige Seiten zu entdecken, kann nicht überzeugen. Denn zum einen kann eine solche Weiterleitung auch im nicht abgerufenen HTML-Code erfolgen (meta http-equiv="refresh"). Und zum anderen binden viele Web-Seiten den eigentlichen Schadcode etwa über iFrame-Tags ein – ebenfalls in den HEAD-Daten nicht sichtbar.

Und schließlich ist der Einsatz der SmartScreen-Filter-Technik etwa im Internet Explorer dokumentiert und der Anwender hat die Möglichkeit sie abzuschalten. Nicht so bei Skype. Weder gibt es konkrete Hinweise auf den Einsatz von SmartScreen im Rahmen von Skype-Chats, noch kann der Anwender den Einsatz dieser Überwachungstechnik widersprechen.

Alles in allem ist es trotzdem wahrscheinlich, dass die beobachteten Zugriffe im Zusammenhang mit irgendeiner Form von Schutzfunktion stehen. Doch wenn es so ist, ist diese wenig durchdacht. Der mögliche Nutzen ist sehr gering – vor allem in Anbetracht der doch recht gravierenden Eingriffe in die Privatsphäre. Immerhin greift Microsoft dabei auch persönliche, nicht für Dritte gedachte Informationen – also etwa die an die Mutter geschickte URL zum privaten Bilder-Album des Familienausflugs – gezielt ab und speichert diese anschließend auf eigenen Systemen. Da wäre es zum Mindesten angebracht, dass Microsoft den Einsatz solcher Überwachungsfunktionen erstens dokumentiert und zweitens eine Möglichkeit einräumt, auf den gut gemeinten Schutz doch lieber zu verzichten.

Bei unseren letzten Tests mit Links, die wir über Skype verschickten, beobachteten wir keine Zugriffe aus Redmond mehr. Es ist zu hoffen, dass Microsoft die Konsequenzen aus diesem Fiasko zieht und diese Funktion zumindest vorübergehend still gelegt hat. Jetzt ist ein guter Zeitpunkt, in sich zu gehen, Kosten und Nutzen der Überwachung genau zu überdenken und dann zu überlegen, wie man das richtig machen kann. Unsere analogen Tests mit den Chats von Google, Facebook und ICQ erbrachten übrigens keine Ergebnisse – sprich: es erfolgten keine Zugriffe auf die speziellen URLs, die wir dort verschickten. (ju)

Mehr zum Thema
  • Microsoft
  • Skype

Forum bei heise online: Desktopsicherheit

Teile diesen Beitrag
https://heise.de/-1865370 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Jenkins

Splunk

Log4Shell-Lücke VMware Horizon

Synology

Anzeige
  • Mehr Nachhaltigkeit durch modernes Deployment
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • Kundenservice mit künstlicher Intelligenz
  • Join the fundrace. Support open source!
  • Einheitliche Überwachung für hybride Clouds
  • File Sharing im Job ohne Sicherheitsrisiko
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

12 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: Installation ohne Windows unter Ubuntu
    Mitosch schrieb am 26.06.2022 12:09: Der Startmedienersteller zählt wie Rufus zu den Dritt-Tools, die offensichtlich nicht zu einem…

    Forum:  Desinfect

    Kybfels hat keinen Avatar
    von Kybfels; vor 3 Stunden
  2. Bootvorgang hängt mit schwarzem Bildschirm | Re: USB-Stick 4MB große Partition
    Manfred B. schrieb am 06.06.2022 22:50: Manfred B. schrieb am 07.06.2022 23:05: ■ Ein Eintrag für UEFI-Boot, ein Eintrag für BIOS-Boot.

    Forum:  Desinfect

    _user hat keinen Avatar
    von _user; vor 5 Stunden
  3. Scan-Assistent hängt u. Fenster ist schwarz | Re: Surface Book 3 / Bitlocker
    berni27 schrieb am 14.06.2022 10:02: für jeden PC wohl eher Ordner und nicht Partition. Ansonsten unklar. evtl ist das beschriebene Verhalten…

    Forum:  Desinfect

    _user hat keinen Avatar
    von _user; vor 6 Stunden
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 1025014
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien