En esta corta semana comentamos con ustedes acerca de la vulnerabilidad de Skype detectada en Android que permitía el acceso a todos los datos del usuario a cualquier otra aplicación. Desde que se reportó la falla de seguridad solo han pasado un par de días pero ya se encuentra disponible una actualización. Veamos qué cambió...

Skype ha publicado una nueva versión de su software para realizar llamadas a través de Internet que soluciona el problema. Se puede descargar desde el sitio oficial de Skype o través del Android Market y es recomendable que todos los usuarios de esta aplicación realicen la actualización tan pronto como puedan.

Podemos observar que los permisos asignados al directorio de Skype, el cual por defecto se encuentra en "/data/data/com.skype.raider", han sido modificados. En este directorio ya no se puede acceder a los archivos desde una aplicación que no sea Skype.


Como se puede observar en la captura en la primer ejecución del comando "ls -l", el dispositivo contaba con la versión anterior de Skype, una vez que actualizó la aplicación ya no se puede acceder a los archivos o incluso ejecutar el mismo comando.

Esto se debe a que se han modificado los permisos de acceso al directorio de la aplicación ("/data/data/com.skype.raider") ya sea para listar los archivos o acceder a ellos.  En la versión anterior de Skype y como se puede observar en la primer imagen, cualquier usuario podía acceder a los archivos.

Por defecto se asigna un USER ID (Identificador de Usuario) a cada aplicación instalada en el dispositivo, de esta manera se puede asegurar que sus archivos no puedan ser accedidos sin permisos. En la siguiente captura se observa cómo se han modificado los permisos sobre el directorio:

Con esta modificación ya no se permite a otra aplicación acceder a los archivos, por lo tanto se evita la fuga de información.

Una vez más volvemos a recomendar a los usuarios de Android que realicen la actualización de Skype para que se instale el parche de seguridad necesario y que sus datos no puedan filtrarse ante la ejecución de una aplicación maliciosa. Recuerden la nueva versión de Skype es la 1.0.0.983, y ya se puede actualizar pero como especifican las buenas prácticas para los usuarios móviles la instalación debe realizarse desde repositorios oficiales, ¿quieren dejar sus datos vulnerables?

Pablo Ramos
Especialista de Awareness & Research