Программное обеспечение Skype может выдавать без соответствующих санкций имена пользователей Android Police

15.04.2011

Интернет-издание Android Police сообщает, об обнаружении уязвимости в последней стабильной версии программного обеспечения (ПО) Skype под операционную систему Google Android, выпущенной в октябре 2010 года. Первые данные об уязвимости появились еще 4 дня назад. Суть уязвимости заключается в том, что программа может выдавать без соответствующих санкций имена пользователей, их телефонные номера, email-адреса и другие личные данные.

Авторы сайта сообщают, что на данный момент последнюю версию ПО Skype по всему миру используют около 10 млн человек.  Для этой версии характерно, что в ней существует служебная директория, имя которой совпадает с логином пользователя, там же находятся логи общения, данные о профиле и иные сведения о пользователе. Для хранения папок программа применяет  систему статического расположения данных, то есть у всех пользователей папки расположены по одному и тому же адресу, причем все это хранится в общеупотребительном формате sqlite3. К тому же программа еще и неверно выставляет права доступа к файлам, что позволяет всем пользователям из вашего контакт-листа в Android, запросить ваши данные и всем желающим читать их.

В самой Skype подтвердили наличие бага и заявили, что работают над его исправлением. Android Police сообщает, что под указанную уязвимость уже есть эксплоит.