Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Kilophatók az adatok az androidos Skype-ból

Dojcsák Dániel, 2011. április 18. 17:20
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Érdekes hibára derült fény az androidos Skype-kliensben, aminek segítségével rosszindulatú bűnözők minden gond nélkül tömegesen szerezhetnek be személyes adatokat.

hirdetés

A Skype for Android programozási hibájának köszönhetően egy külső programmal könnyedén kimenthetőek a felhasználónál tárolt nevek, e-mail címek, más személyes adatok és chat naplófájlok - ismerte be a biztonsági rést a szoftver gyártója. A hiba egy apró figyelmetlenségből adódik, de az okozható kár miatt nagyon kínos a Skype számára.

Az Android Police blogon múlt héten megjelent bejegyzés szerint a Skype for Android nem tiltja le az elérést számos olyan naplófájlhoz, amikben érzékeny személyes adatok vannak tárolva. A fájlok gazdagon tartalmaznak adatokat magáról a felhasználóról is, tehát az okostelefon tulajdonosáról, kezdve a teljes névtől, a születési adatokon keresztül a telefonszámig és a Skype-egyenlegig, emellett ugyanúgy elérhető a teljes Skype névjegyzék, a hívások listája és a chat naplófájlok is.

Bocs, véletlen volt

“A Skype véletlenül megfelelő jogosultságok nélkül hagyta ezeket a fájlokat, lehetővé téve bárkinek, hogy akár manuálisan, akár egy erre írt alkalmazás segítségével kiolvassa azokat. Ráadásul nem csak teljes egészében elérhetőek a fájlok, de semmilyen kódolással vagy titkosítással sincsenek védve” - írja a magát Justin Case-nek nevező blogger. A szakértő készített egy alkalmazást, amivel demózni is tudja a hibát, viszont így már bármilyen rosszindulatú programozó módosíthatja a bizonyítási céllal létrehozott demót, akár becsomagolhatja valamilyen idétlen, de népszerű program mögé, amit az emberek letöltenek, s máris lehet kiszivattyúzni az adatokat.

Ez utóbbi feltevés pedig nem is csak fantázia, ugyanis csak az elmúlt hónapban több mint 50 ilyen programot távolított el a Google az Android Marketből. Az utóbbi időben a Google szigorúbbra vette az ellenőrzést alkalmazás-piacterén, de ennek ellenére nem akadályozza meg semmi, hogy valaki több tucat mutációval árassza el a Marketet és pár hét alatt tekintélyes mennyiségű adatot lopjon, mielőtt a Google észbe kap. Ebből a szempontból az Apple szigorú filozófiája jobb, megnyugtatóbb a felhasználók szempontjából, sőt az Amazon prémium piacterének presztízsét is bizonyára növelik az ilyen esetek.

Lesz javítás, de még nincs

A Skype információbiztonsági vezetője természetesen azonnal nyugtatni próbálja a felhasználókat, s állítása szerint már dolgoznak a javításon, nagyon gyorsan pótolják a hiányzó jogosultságbeállításokat, hogy megvédjék a felhasználókat az esetleges visszaélésekről. Annak ellenére, hogy maga a hiba már múlt hét végén napvilágra került, a Skype for Android a cikkünk megírásáig még nem frissült. Ha a Skype-nál az igyekezet ezt a tempót jelenti, akkor érdemes a másik tanácsukat is megfogadni, miszerint a felhasználók mindig mérlegeljék, hogy milyen programokat telepítenek fel mobiljukra és igyekezzenek kiszűrni a gyanús alkalmazásokat. Ezt persze könnyű javasolni, de az ellen viszont nehéz védekezni, ha egy kritikus adatokat kezelő alkalmazás a felhasználó adatait teljesen pőrén hagyja.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!