A Microsoft Skype programja egy rendkívül népszerű VoIP/video konferencia eszköz, amelyet cégek és magánszemélyek is egyaránt használhatnak, de 300 millió felhasználón túl már a biztonsági kockázatoknak is jóval nagyobb kihatása lehet.
A Solutionary cég májusi jelentése szerint az a tény, hogy a Skype megőrzi a személyek beazonosítására alkalmas információt a szöveges chat leirata mellett egy titkosítatlan fájlban a helyi rendszeren, túlságosan is támadhatóvá teszi a felhasználókat.
Mit is jelent ez? Azt, hogy bárki, aki megfelelő tudással és képességgel bír ahhoz, hogy meghackeljen egy Skype felhasználót, könnyedén hozzáférhet a személyes adatokhoz anélkül, hogy fel kellene törnie a Microsoft szervereit.
A konkrét fájl, amely a Solutionary céget is aggasztja, main.db néven található, és már a név is tisztán jelzi, hogy miket is tartalmaz a dokumentum.
Operációs rendszerek szerint a következő helyeken található meg:
Windows: – C:UsersUsernameAppDataRoamingSkypeSkypeName
Mac: – /Users/user/Library/Application Support/Skype/SkypeName
Linux: – /home/user/.Skype/SkypeName
Windowson és Linuxon a megtalálási hely alapból rejtett, de ez nem jelent semmit egy kicsit is járatos személy számára, és biztosan nem fogja rejtve tartani egy hozzáértő támadó elől.
Miként az IT-biztonsági cég rámutat, hogy senki sem – különösen nem egy Microsoft-méretű cég – bízhatja rá felhasználóit egy rendszer bizonytalan opciójára.
Miután a fájlt begyűjtik, az SQLite-tal simán megnyitható, mivel nincs titkosítva. A fájlban táblázatok hosszú sorai találhatók, mint Fiókok, Riasztások, Hívások, Chattagok, Kapcsolatok, Üzenetek, Résztvevők, SMS-ek, Videók és Hangüzenetek, hogy csak párat említsünk.
Alapvetően ez a fő adatbázisfájl a Skype funkciók számára, mely könnyen kikövetkeztethetővé teszi, hogy miféle információkat tartalmaznak a táblázatok. A hackerek így hozzáférnek a felhasználók teljes nevéhez, születési adataikhoz, ország- és városnévhez, e-mail címekhez, telefonszámokhoz és még a teljes chat üzenetváltások szövegéhez is.
„Az eltárolt részletek a közvetlen felhasználóra és bármely Skype kapcsolatára vonatkozólag tartalmaznak információt, mely értékes lehet egy támadónak. Emellett az egyszerű szövegformátum és az egyszerű hozzáférhetőség miatt bárkinek könnyű feladatot jelenthet az adatok kinyerése, még adminisztrátori jogosultság nélkül is. Persze ez még egy nagyobb gondot is jelez, mivel maga a fájlrendszer is veszélybe kerülhet”, olvasható a biztonsági jelentésben.
Forrás: Softpedia
