O Skype para Android tem grandes falhas de segurança que podem deixar detalhes do usuário e dados pessoais abertos a ataques, de acordo com um relatório.
A vulnerabilidade envolve a forma como o software VoIP armazena dados, uma investigação da Polícia do Android encontrados e podem deixar detalhes de criação, como logs de mensagens instantâneas e detalhes de endereço, abertos aos invasores.
“Fiquei chocado com a quantidade de informações que pude colher”, escreveu o autor do relatório, assinado por Justin Case. “Tudo estava disponível para o aplicativo nocivo que criei, sem a necessidade de root ou quaisquer permissões especiais e afetou o Skype para Android (que está disponível desde outubro de 2010), o que significa que isso afeta todos os pelo menos 10 milhões de usuários do aplicativo."
De acordo com o relatório, o Skype deu aos arquivos permissões impróprias, o que significa que qualquer pessoa ou aplicativo poderia acessar os dados não criptografados contidos neles.
A exploração aproveitou o acesso a uma pasta dentro do diretório de dados do Skype, onde o Skype armazena contatos, perfis, logs de mensagens instantâneas e outros detalhes em vários bancos de dados sqlite3.
“O arquivo mais interessante ao qual se pode ter acesso é o main.db”, disse o relatório. “A tabela de contas neste banco de dados contém informações como saldo da conta, nome completo, data de nascimento, cidade/estado/país, telefone residencial, telefone comercial, telefone celular, endereços de e-mail, sua página da web, sua biografia e mais."
De acordo com Polícia do Android, o Skype disse que está investigando a fraqueza, enquanto várias respostas criticaram o site por expor a vulnerabilidade antes que o Skype preparasse uma correção.
O Skype não estava disponível para comentários no momento da publicação.
