hELLISh
17.04.2011, 20:46
В Skype for Android обнаружена уязвимость, которая позволяет получить стороннему приложению доступ к Вашим персональным данным. Уязвимость имеет место быть на всех устройствах, а не только рутованных.
Внутри каталога Скайпа лежит каталог с тем же именем, что и Ваш логин в Скайпе. Именно здесь в базе sqlite3 Скайп хранит ваши контакты, данные профиля, сообщения и многое другое.
# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
Скайп по ошибке оставляет эти данные в абсолютно свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные.
Как левое приложение сможет найти нужный каталог? В Скайпе хранится имя пользователя в одном постоянном месте, мы можем прочитать этот файл и получить оттуда имя пользователя и путь к базе данных Скайпа.
# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
jcaseap
Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д.
В таблице Контакты содержится аналогичная информация по Вашему списку контактов. Ну а в таблицы Чаты — сами догадайтесь :)
Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.
В официальном ответе Скайпа (http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html) рекомендуют быть более избирательными при установке новых приложений.
Стырено здесь (http://habrahabr.ru/blogs/android/117610/).
Внутри каталога Скайпа лежит каталог с тем же именем, что и Ваш логин в Скайпе. Именно здесь в базе sqlite3 Скайп хранит ваши контакты, данные профиля, сообщения и многое другое.
# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap
-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db
-rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db
drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
Скайп по ошибке оставляет эти данные в абсолютно свободном, незашифрованном виде, что позволяет стороннему приложению считать эти данные.
Как левое приложение сможет найти нужный каталог? В Скайпе хранится имя пользователя в одном постоянном месте, мы можем прочитать этот файл и получить оттуда имя пользователя и путь к базе данных Скайпа.
# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
jcaseap
Наибольший интерес представляет файл main.db. В таблице аккаунта содержатся такие данные, как баланс, полное имя, дата рождения, город, страна, все телефоны, e-mail и т.д.
В таблице Контакты содержится аналогичная информация по Вашему списку контактов. Ну а в таблицы Чаты — сами догадайтесь :)
Стоит заметить, что Skype for Android доступен с октября 2010 года, а, значит, все это время была доступна и эта уязвимость.
В официальном ответе Скайпа (http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html) рекомендуют быть более избирательными при установке новых приложений.
Стырено здесь (http://habrahabr.ru/blogs/android/117610/).