L’anno scorso Android è stato messo sotto accusa perché alcune applicazioni condividevano i dati degli utenti senza il loro permesso. Android Police ha ora scoperto che una grave vulnerabilità di Skype permette l’accesso alle informazioni dell’utente senza aver bisogno di root o permessi speciali.
Il problema risiede nel modo in cui l’applicazione VoIP memorizza i dati all’interno del database SQLite3 e nell’errata gestione dei permessi dei file.
I file corrispondenti alle tabelle del database, non solo hanno permessi di lettura e scrittura, ma non sono nemmeno criptati. Skype dovrebbe utilizzare un algoritmo AES per proteggere le chiamate vocali e i messaggi, ma sulla versione per Android è tutto “in chiaro”.
Basterebbe creare una applicazione specifica o modificare una app esistente, distribuirla sul market e rubare tutti i dati di oltre 10 milioni di utenti (nome, data di nascita, luogo di residenza, credito, contatti, numero di cellulare, ecc.).
L’azienda è stata avvisata del problema e ha iniziato ad investigare per trovare una rapida soluzione alla vulnerabilità.
[youtube]An8SnCBj-gU[/youtube]
