Обнаружена уязвимость в Skype для Android

Компания Skype официально подтвердила наличие критической уязвимости в мобильном приложении для ОС Google Android. Уязвимость позволяет злоумышленникам получить доступ к конфиденциальным данным — имени владельца аппарата, адресу его электронной почты, спискам контактов и логам чатов. Некоторые специалисты назвали инцидент «неуважением к частной сфере»

Джастин Кейс (Justin Case), один из постоянных авторов блога Android Police, предал огласке тот факт, что приложение не блокирует доступ к ряду конфиденциальных файлов, которые хранятся на мобильном устройстве. Эти файлы содержат информацию об учетной записи в Skype, а также о владельце смартфона; в том числе полное имя владельца, его дата рождения, его альтернативные телефонные номера, а также баланс счета. Кроме того, как сообщил Кейс, под угрозой оказались логи чата мгновенных сообщений и все контакты в Skype.

«Skype по ошибке оставила для этих файлов неверные значения доступа, позволяя любому лицу или любому приложению их прочитать. Они не только доступны, но и абсолютно незашифрованы», — заявил Кейс. Чтобы доказать это утверждение, он создал Android-приложение, которое продемонстрировало доступ к незащищенным данным и предупредил, что хакеры могут сделать то же самое. «Злоумышленник может модифицировать существующее приложение, поместив в него код из примера, разместить приложение в магазине Android Market и просто смотреть, как скачивается конфиденциальная информация пользователей».

Опасения Кейса не напрасны. В прошлом месяце Google удалила более 50 инфицированных приложений с Android Market, а три недели назад чешская компания AVAST объявила о наличии троянского кода, направленного против пиратского распространения продукции, в апплете Walk and Text. Компания Skype, в свою очередь, признала наличие уязвимости в своем клиенте под ОС Android, пообещав исправить проблему, однако, не указав конкретных сроков. «Мы активно работаем над защитой от уязвимости, включая безопасное разграничение прав доступа в приложении Skype для Android», — заявил в блоге компании Эдриан Эшер (Adrian Asher), глава отдела информационной безопасности. Кроме того, он посоветовал внимательно выбирать приложения, которые пользователи собираются скачать и установить на свои устройства. На текущий момент обновление клиента до сих пор не выпущено.