Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2011
Skype vulnerable en Android
El fallo detectado en Skype, el reconocido software para realizar llamadas a través de Internet, podría permitir la fuga de información de millones de usuarios.
La vulnerabilidad detectada en Skype es altamente peligrosa, y es posible que se esté filtrando información de los usuarios desde octubre del 2010. Los datos del usuario pueden ser leídos por cualquier aplicación instalada en el dispositivo móvil, motivo por el cual esta situación es tan crítica.
Una vez que Skype ha sido instalado en el sistema, crea una carpeta con el nombre del usuario que ha iniciado sesión y, dentro de este directorio almacena toda la información de la cuenta en distintas bases de datos sqlite3. La información contenida en este motor de bases de datos utilizado en Android no se encuentra cifrada, y puede ser accedida por cualquier otra aplicación con permisos para acceder al sistema de ficheros, lo que podría derivar en fuga de información.
¿Qué información se puede filtrar? Todos los datos que el usuario ha cargado en su cuenta de Skype, entre los que se destacan el saldo disponible, nombre completo del usuario, fecha de nacimiento, dirección (ciudad, estado, país), datos de contacto del usuario (correo electrónico, teléfono o móvil), conversaciones almacenadas y contactos.
La principal falla que podemos destacar en esta ocasión es que toda la información del usuario se encuentra accesible y en caso que el dispositivo sea infectado por algún código malicioso sus datos pueden ser reenviados sin que el usuario sea consciente de ello.
En lo que respecta a la seguridad de la información hay tres conceptos que no se deberían de quebrantar: la confidencialidad, la integridad y la disponibilidad. La vulnerabilidad presente en Skype no puede asegurar que los datos del usuario no hayan sido leídos por alguna otra aplicación, motivo por el cual la confidencialidad de los mismos no se encuentra garantizada desde octubre del año pasado.
Siempre recomendamos a los usuarios prestar especial atención al instalar nuevas aplicaciones en sus equipos, contar con una solución antivirus y contar con buenas prácticas para el uso de dispositivos móviles. Skype ya se encuentra al tanto de esta situación y está trabajando para publicar una actualización que solucione esta vulnerabilidad.