Uno sviluppatore androide denuncia: il client di comunicazione P2P è affetto da un grave difetto strutturale che mette a repentaglio una grande quantità di informazioni sensibili degli utenti
Roma - Quanto è facile monitorare, analizzare e rubare le informazioni personali registrate dagli utenti sui log e i dati di account di Skype per Android? Uno sviluppatore sostiene che è molto facile, anzi facilissimo: basta creare una "app" istruita per cercare all'interno dei file presenti in un certa cartella e tutto sarà visibile, alla mercé di chiunque.
Il problema, ha verificato lo sviluppatore Justin Case, risiede nelle modalità di archiviazione delle informazioni utente impiegate da Skype, che si limita a registrare tali dati in formato non cifrato, in un certo numero di database in formato SQLite (3) all'interno di una cartella dati con lo stesso nome del profilo utente di Skype.
All'interno di questi database - e del file main.db in particolare - il client di comunicazione registra informazioni quali il saldo telefonico, il nome completo, la data di nascita, la posizione geografica (città, regione/stato, paese), i numeri telefonici, gli indirizzi email e altro ancora, i messaggi.
Il problema, ha verificato lo sviluppatore Justin Case, risiede nelle modalità di archiviazione delle informazioni utente impiegate da Skype, che si limita a registrare tali dati in formato non cifrato, in un certo numero di database in formato SQLite (3) all'interno di una cartella dati con lo stesso nome del profilo utente di Skype.
All'interno di questi database - e del file main.db in particolare - il client di comunicazione registra informazioni quali il saldo telefonico, il nome completo, la data di nascita, la posizione geografica (città, regione/stato, paese), i numeri telefonici, gli indirizzi email e altro ancora, i messaggi.
Per accedere a tutti questi dati non occorre molto, dice Justin Case: basta creare un'app opportunamente istruita a cercare all'interno della cartella dati di Skype - magari modificando il codice "proof-of-concept" da lui creato e pubblicato in rete - e leggere il contenuto dei database.
Prevedibile la soluzione suggerita dallo sviluppatore: Skype deve usare algoritmi di cifratura per proteggere i dati dell'utente e assegnare permessi di accesso ai file di configurazione opportunamente blindati. Skype, dal canto suo, dice di essere impegnata a investigare sulla vulnerabilità.
Prevedibile la soluzione suggerita dallo sviluppatore: Skype deve usare algoritmi di cifratura per proteggere i dati dell'utente e assegnare permessi di accesso ai file di configurazione opportunamente blindati. Skype, dal canto suo, dice di essere impegnata a investigare sulla vulnerabilità.
0 commenti:
Posta un commento