Alfonso Maruccia

Skype su Android, chat col buco

Uno sviluppatore androide denuncia: il client di comunicazione P2P è affetto da un grave difetto strutturale che mette a repentaglio una grande quantità di informazioni sensibili degli utenti

Roma - Quanto è facile monitorare, analizzare e rubare le informazioni personali registrate dagli utenti sui log e i dati di account di Skype per Android? Uno sviluppatore sostiene che è molto facile, anzi facilissimo: basta creare una "app" istruita per cercare all'interno dei file presenti in un certa cartella e tutto sarà visibile, alla mercé di chiunque.

Il problema, ha verificato lo sviluppatore Justin Case, risiede nelle modalità di archiviazione delle informazioni utente impiegate da Skype, che si limita a registrare tali dati in formato non cifrato, in un certo numero di database in formato SQLite (3) all'interno di una cartella dati con lo stesso nome del profilo utente di Skype.

All'interno di questi database - e del file main.db in particolare - il client di comunicazione registra informazioni quali il saldo telefonico, il nome completo, la data di nascita, la posizione geografica (città, regione/stato, paese), i numeri telefonici, gli indirizzi email e altro ancora, i messaggi.
Per accedere a tutti questi dati non occorre molto, dice Justin Case: basta creare un'app opportunamente istruita a cercare all'interno della cartella dati di Skype - magari modificando il codice "proof-of-concept" da lui creato e pubblicato in rete - e leggere il contenuto dei database.

Prevedibile la soluzione suggerita dallo sviluppatore: Skype deve usare algoritmi di cifratura per proteggere i dati dell'utente e assegnare permessi di accesso ai file di configurazione opportunamente blindati. Skype, dal canto suo, dice di essere impegnata a investigare sulla vulnerabilità.

Alfonso Maruccia
62 Commenti alla Notizia Skype su Android, chat col buco
Ordina
  • ma scusate, quindi in Android qualsiasi app può scorrazzare per la memoria e far mambassa di dati?

    In iOS lo storage di ogni applicazione è sandboxed... va bene essere "OPEN" ma così è un po' troppo no?Con la lingua fuori
    MeX
    16897
  • - Scritto da: MeX
    > ma scusate, quindi in Android qualsiasi app può
    > scorrazzare per la memoria e far mambassa di
    > dati?
    >

    No.
    Hai letto l'articolo?
    Puoi far man bassa solo dei dati di Skype, non di tutti i tuoi dati su Android. La colpa è della applicazione che li mette in una cartella e non li cifra, e non del SO.
    non+autenticato
  • "Skype mistakenly left these files with improper permissions, allowing anyone or any app to read them. Not only are they accessible, but completely unencrypted"
    non+autenticato
  • ho capito.

    Ma in iOS l'applicazione A non PUÓ accedere ai dati dell'applicazione B, anche se non sono criptati e non hanno i permessi settati, in quanto iOS NON PERMETTE a livello di sistema operativo che questo avvenga.

    Mentre a quanto ho capito, su Android posso fare un'applicazione che va in giro a leggere un po' quello che gli pare (che poi chi sviluppa sia furbo abbastanza da prevenire la cosa bene, me resta che Android non aiuta di certo...)
    MeX
    16897
  • Le applicazioni su Android hanno lo stesso tipo di sandbox di iOS. C'è una parte di filesystem però che è condivisa, sulla quale tutte le app possono leggere e scrivere (ad esempio per salvare o importare documenti). Se usi una SD esterna anche questa è accessibile alle varie applicazioni allo scopo di salvare dati. Se l'applicazione vuole salvare dati privati nello spazio comune è opportuno che li cripti, altrimenti potenzialmente un'altra app li può leggere.

    Sta allo sviluppatore scegliere come salvare i dati, e quelli di Skype evidentemente salvano dati privati in modo pubblico.
    non+autenticato
  • quindi usare l'SD espone a rischi di sicurezza... un motivo in più per evitarlaOcchiolino
    MeX
    16897
  • - Scritto da: MeX
    > quindi usare l'SD espone a rischi di sicurezza...
    > un motivo in più per evitarla
    >Occhiolino

    Levami una curiosità, come funziona Dropbox su iOS? Lavora con una cartella condivisa tra le varie app o, quando devo aprire/modificare un file, il file viene copiato nell'area privata dell'app con cui lo devo usare?
  • dropbox si limita a copiare il file sull'iPhone, se poi ti propone di aprire un file con un'altra applicazione, il file sarà aperto dall'altra applicazione copiandolo nella sua area di storage.

    Ma non esiste che un'applicazione abbia ACCESSO ai dati salvati da un'altra
    MeX
    16897
  • - Scritto da: MeX
    > dropbox si limita a copiare il file sull'iPhone,
    > se poi ti propone di aprire un file con un'altra
    > applicazione, il file sarà aperto dall'altra
    > applicazione copiandolo nella sua area di
    > storage.
    >
    > Ma non esiste che un'applicazione abbia ACCESSO
    > ai dati salvati da
    > un'altra

    Certo che è possibile, app per il backup di altre app, ad esempio le app per i salvataggi di angry bird, il problema risiede solamente nel fatto se i dati sono criptati o meno visto che in ios non hai limiti di accesso a tali files, in teoria con la chiave unica puoi decriptare totalmente ed avere totale accesso a tutti i dati molto facilmente, prova a collegare iphone ad una macchina con ubuntu e ti rendi conto di cosa parlo.
    non+autenticato
  • in iOS, TUTTE le app disponibili sull'appStore NON POSSONO andare in giro a leggere/scrivere dati salvati da altre app.
    MeX
    16897
  • - Scritto da: MeX
    > in iOS, TUTTE le app disponibili sull'appStore
    > NON POSSONO andare in giro a leggere/scrivere
    > dati salvati da altre
    > app.

    Sei in errore, posso scrivere una app che legge i salvataggi di altre app e perfino inviarli in remoto, e schedularli su diversi files, ad esempio posso leggere i files di una applicazione generica che mi registra le preferenze ad esempio di ristorazione o dei distributori di benzina o dei siti di news che visito ed elaborarli ed inviarli come mi pare, la licenza apple non pone questo limite, tutto sta nel fatto che l'utente permetta l'accesso a tali informazioni.
    non+autenticato
  • fare ste cise è una stupidata xk poi ti becca la postake...
    non+autenticato
  • Sei rumeno?
  • ho paura di no, che è anche peggio.
    non+autenticato
  • tu che sei italiano non ci sono dubbi vista la domanda idiota!

    Ah noi italiani si che ci facciamo riconoscere!
    MeX
    16897
  • Il fatto che io mi esprima meglio di te in lingua italiana non significa che io sia italiano.
    Comunque, dato che tu sei italiano, mi traduci il commento iniziale?
    Grazie!
  • - Scritto da: giacche
    > Il fatto che io mi esprima meglio di te in lingua
    > italiana non significa che io sia
    > italiano.

    infatti, ti ho riconosciuto dalla domanda stupida non dalla proprietà di linguaggio

    > Comunque, dato che tu sei italiano, mi traduci il
    > commento
    > iniziale?
    > Grazie!

    titolo: che stupidata

    fare queste cose è una stupidata perchè poi ti becca la postale (polizia ndr)

    PREGO!Occhiolino
    MeX
    16897
  • Beh, ma cosa vuol dire. Io l'ho letta come una battuta... mi ha fatto sorridere e non ho pensato nulla contro i romeni.

    Tu nel tuo buonismo invece hai immediatamente pensato al lato "razzista" della frase.

    Ma cosa ci si puó aspettare da un "Fanatico" quale sei...
    non+autenticato
  • - Scritto da: Non Me
    > Beh, ma cosa vuol dire. Io l'ho letta come una
    > battuta... mi ha fatto sorridere e non ho pensato
    > nulla contro i
    > romeni.

    > Tu nel tuo buonismo invece hai immediatamente
    > pensato al lato "razzista" della
    > frase.

    la frase ha un lato razzista, che sia scritta per fare una battuta o meno... sempre razzista è

    > Ma cosa ci si puó aspettare da un "Fanatico"
    > quale
    > sei...

    non mi sforzo nemmeno di capire questa frase
    MeX
    16897
  • Giusto per curiosità, con che tastiera/computer hai scritto?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Giusto per curiosità, con che tastiera/computer
    > hai
    > scritto?

    se fosse con Android gli consiglierei lo Swype...