Skype vulnerable en Android

Muchas veces comentamos acerca de distintas amenazas existentes para Android, la plataforma móvil de Google. En esta ocasión, queremos compartir con ustedes una falla detectada en Skype, el reconocido software para realizar llamadas a través de Internet, que podría llevar a la fuga de información de millones de usuarios.

La vulnerabilidad detectada en Skype es altamente riesgosa y es posible que se esté filtrando información de los usuarios desde octubre del 2010. Los datos del usuario pueden ser leídos por cualquier aplicación instalada en el dispositivo móvil, motivo por el cual esta situación es tan crítica.

Una vez que Skype ha sido instalado en el sistema, crea una carpeta con el nombre del usuario que ha iniciado sesión y, dentro de este directorio almacena toda la información de la cuenta en distintas bases de sqlite3. La información contenida en este motor de bases de datos utilizado en Android, no se encuentra cifrada y puede ser accedida por cualquier otra aplicación lo que podría derivar en fuga de información.

¿Qué información se puede filtrar? Entre la información que se puede filtrar se encuentran todos los datos que el usuario ha cargado en su cuenta de Skype, entre ellos remarcamos:

  • Saldo de la cuenta
  • Nombre completo del usuario
  • Fecha de nacimiento
  • Ciudad/Estado/País
  • Número de teléfono
  • Número de celular
  • Correo electrónico
  • Conversaciones almacenadas
  • Contactos

La principal falla que podemos destacar en esta ocasión es que toda la información del usuario se encuentra accesible y en caso que el dispositivo sea infectado por algún código malicioso sus datos pueden ser reenviados sin que el usuario sea consiente de ello.

En lo que respecta a la seguridad de la información hay tres conceptos que no se deberían de quebrantar:  la confidencialidad, la integridad y la disponibilidad. La vulnerabilidad presente en Skype no puede asegurar que los datos del usuario no hayan sido leídos por alguna otra aplicación, motivo por el cual la confidencialidad de los mismos no se encuentra garantizada desde octubre del año pasado.

Siempre recomendamos a los usuarios prestar especial atención al instalar nuevas aplicaciones en sus equipos, contar con una solución antivirus y contar con buenas prácticas para el uso de dispositivos móviles. Skype ya se encuentra al tanto de esta situación y está trabajando para publicar una actualización que solucione esta vulnerabilidad.

Actualización 20/04/2011 a las 11:50hs.: Skype ha publicado una nueva actualización que soluciona la vulnerabilidad reportada. La misma ya se encuentra disponible para la descarga.

Pablo Ramos
Especialista de Awareness & Research

Autor , ESET

  • Pingback: Problema en Skype para Android pone en riesgo los datos de los usuarios | OpenSecurity()

  • Me imagino que a diferencia de un GNU/Linux derepente con alguna aplicación que utilize el API de Skype se podria lograr el mismo comportamiento, aunque posiblemente otro factor importante podrían ser los niveles de seguridad que Android cuenta por defecto a diferencia de un GNU/Linux convencional.

    qué piensas?

    • Hola Adario,

      En esta situación en particular, la falla de seguridad es que se dejó un directorio con permisos de lectura y escritura que permite el acceso a los archivos de configuración de Skype, y dicha información no se encuentra cifrada. No tiene una relación directa con los niveles de seguridad de Android.

      Al utlizar una correcta configuración y uso del modelo de seguridad de Android esto no debería haber pasado. Cuando se instala un paquete se le asigna un USERID, y cualquier información almacenada por esa información no debería ser accedida por ninguna otra aplicación (http://developer.android.com/guide/topics/security/security.html#userid).

      Puntualmente el error es por parte de los desarrolladores, la información debería de estar cifrada y no debería ser accesible por cualquier aplicación.

      En el directorio de instalación, se encuentra un archivo con el nombre shared.xml que contiene los nombres de las cuentas de usuario y otras configuraciones de Skype, y cualquier otra aplicación puede leer esos datos. Si se analiza ese archivo se pueden conocer todos los usuarios que iniciaron sesión en el dispositivo, con los nombres de usuario acceder a los directorios y listar, leer o escribir la información.

      Saludos,

      Pablo

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Skype soluciona la vulnerabilidad en Android()

  • Pingback: Seguridad móvil: consejos y vulnerabilidades | B1nary0's Web()

Síguenos