В Skype for Android обнаружена уязвимость, которая позволяет получить стороннему приложению доступ к Вашим персональным данным.
Внутри каталога Скайпа лежит каталог с тем же именем, что и Ваш логин в Скайпе. Именно здесь в базе sqlite3 Скайп хранит ваши контакты, данные профиля, сообщения и многое другое.
UPD:Как верно подметили в комментах, все нижесказанное актуально для рутованных андройдов. Все-таки хабрапользователь dpolishuk установил, что уязвимость имеет место быть на всех устройствах, а не только рутованных.
Скайп по ошибке оставляет эти данные в абсолютно свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные.
Как левое приложение сможет найти нужный каталог? В Скайпе хранится имя пользователя в одном постоянном месте, мы можем прочитать этот файл и получить оттуда имя пользователя и путь к базе данных Скайпа.
Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д.
В таблице Контакты содержится аналогичная информация по Вашему списку контактов. Ну а в таблицы Чаты — сами догадайтесь :)
Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.
В официальном ответе Скайпа рекомендуют быть более избирательными при установке новых приложений. Перевод от хабрапользователя Hoorsh:
по мотивам Android Police
Да сохранятся Ваши данные!
UPD: пофиксили.
Внутри каталога Скайпа лежит каталог с тем же именем, что и Ваш логин в Скайпе. Именно здесь в базе sqlite3 Скайп хранит ваши контакты, данные профиля, сообщения и многое другое.
UPD:
# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
Скайп по ошибке оставляет эти данные в абсолютно свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные.
Как левое приложение сможет найти нужный каталог? В Скайпе хранится имя пользователя в одном постоянном месте, мы можем прочитать этот файл и получить оттуда имя пользователя и путь к базе данных Скайпа.
# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
jcaseap
Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д.
В таблице Контакты содержится аналогичная информация по Вашему списку контактов. Ну а в таблицы Чаты — сами догадайтесь :)
Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.
В официальном ответе Скайпа рекомендуют быть более избирательными при установке новых приложений. Перевод от хабрапользователя Hoorsh:
Адриан Ашер, начальник отдела информационной безопасности Skype: «Нам подсказали, что при установке стороннего вредоносного приложения на своё Android устройство, оно может получить доступ к локально хранящимся данным приложения Skype для Android.
Эти файлы включают кэш информации о профиле и истории сообщений. Мы относимся к вашей конфиденциальности очень серьезно, и усиленно работаем, чтобы защитить вас от этой уязвимости, в том числе в ограничении прав доступа к локальным файлам Skype для Android.
Для защиты вашей личной информации, мы советуем вам быть более избирательными в том, какие приложения вы скачиваете и устанавливаете на свои устройства.»
по мотивам Android Police
Да сохранятся Ваши данные!
UPD: пофиксили.
