PDA

Просмотр полной версии : Уязвимость в Skype for Android



hELLISh
17.04.2011, 20:46
В Skype for Android обнаружена уязвимость, которая позволяет получить стороннему приложению доступ к Вашим персональным данным. Уязвимость имеет место быть на всех устройствах, а не только рутованных.

Внутри каталога Скайпа лежит каталог с тем же именем, что и Ваш логин в Скайпе. Именно здесь в базе sqlite3 Скайп хранит ваши контакты, данные профиля, сообщения и многое другое.

# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal

Скайп по ошибке оставляет эти данные в абсолютно свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные.
Как левое приложение сможет найти нужный каталог? В Скайпе хранится имя пользователя в одном постоянном месте, мы можем прочитать этот файл и получить оттуда имя пользователя и путь к базе данных Скайпа.

# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
jcaseap

Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д.
В таблице Контакты содержится аналогичная информация по Вашему списку контактов. Ну а в таблицы Чаты — сами догадайтесь :)

Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.

В официальном ответе Скайпа (http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html) рекомендуют быть более избирательными при установке новых приложений.


Стырено здесь (http://habrahabr.ru/blogs/android/117610/).

BOBUR™
17.04.2011, 22:30
я уже давно не доверяю скайпу ....
в любом виде!

Arktika_serv
17.04.2011, 22:32
я уже давно не доверяю скайпу ....
в любом виде!

И чё!?

iCrocus
17.04.2011, 23:05
В официальном ответе Скайпа (http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html) рекомендуют быть более избирательными при установке новых приложений.
То бишь дыру не закрыли... и не собираются? Лихо!
А я только собрался андроид брать и скайп гонять по работе...

Mobile™
17.04.2011, 23:13
А я только собрался андроид брать и скайп гонять по работе...

а все только и ждут когда вы андроид возьмете и скайп поставите что бы украсть ваши контакты