Обнаружена уязвимость в Skype for Android

Skype не считает это уязвимостью и рекомендует быть более разборчивыми в установке сторонних приложений

В Android версии Skype обнаружена уязвимость, которая позволяет получить стороннему приложению доступ к Вашим персональным данным.

Суть ее состоит в том, что внутри каталога Skype лежит каталог с тем же именем, что и Ваш логин в Skype. Именно здесь в базе sqlite3 Skype хранит ваши контакты, данные профиля, сообщения и многое другое. Уязвимость характерна для всех устройств со всеми версиями Android.

Скайп оставляет эти данные в свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные используя стендертные интерфейсы работы с sqlite3.

Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д. В таблице Контакты содержится аналогичная информация по Вашему списку контактов.

Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.
 

Адриан Ашер, начальник отдела информационной безопасности Skype, предоставил следующий ответ на вопрос о данной проблеме. «Нам подсказали, что при установке стороннего вредоносного приложения на своё Android устройство, оно может получить доступ к локально хранящимся данным приложения Skype для Android.

Эти файлы включают кэш информации о профиле и истории сообщений. Мы относимся к вашей конфиденциальности очень серьезно, и усиленно работаем, чтобы защитить вас от этой уязвимости, в том числе в ограничении прав доступа к локальным файлам Skype для Android.

Для защиты вашей личной информации, мы советуем вам быть более избирательными в том, какие приложения вы скачиваете и устанавливаете на свои устройства.»