Skype is behoorlijk slordig geweest met het ontwikkelen van Skype voor Android. Een lek en verschillende slordigheden zorgen ervoor dat er kinderlijk eenvoudig gegevens van gebruikers kunnen worden verzameld.
Een werknemer van de website Android Police vroeg zich verschillende algemene vragen af. Wie heeft mijn mail? Wie weet mijn nummer? Wie weet mijn geboortedatum? Met die vragen had hij het plan om dieper in Android applicaties te duiken. Op 11 april lekte er een beta-versie van Skype voor Android uit. Android Police besloot dat zij deze applicatie eens onder de loep gingen nemen.
Toen de medewerker, Justin Case, dit deed was hij onaangenaam verrast over het feit hoeveel informatie hij kon verzamelen. Justin Case schreef hiervoor een simpel programma waarmee hij een exploit kon uitbuiten. Voor het programma wat Case schreef was geen enkele speciale permission of root-toegang nodig.
Case was zich ervan bewust dat dit natuurlijk om een beta versie ging. Daaarom besloot Case om het programma ook op de huidige versie van Skype toe te passen. Opnieuw werd Android Police onaangenaam verrast. Case vond hetzelfde zwakke punt als in de beta versie en daarmee komen de persoonsgegevens van de ruim 10 miljoen huidige Skype-gebruikers in gevaar.
In de data directory van Skype vond Justin Case een bestand met de zelfde naam als je eigen username binnen Skype. In dit bestand slaat Skype onder andere je profiel, contacten en berichten op. Skype liet deze bestanden echter achter met verschillende opmerkelijke rechten. Hierdoor is het mogelijk voor iedereen met een klein beetje kennis om deze gegevens uit te lezen. Naast dat ze leesbaar zijn, zijn ze ook nog eens niet versleuteld door middel van encryptie.
Doordat Skype een username op een vaste locatie opslaat kon Android Police dit bestand onderzoeken, de username vinden en vervolgens het pad naar Skype’s opgeslagen data vinden. In deze database zijn enkele intressante gegevens te vinden. Zo trof Android Police informatie als rekening saldo, volledige naam, geboortedatum, woonplaats, telefoonnummers en email adres.
De map Contacts herbergt dezelfde informatie alleen betreft het nu logischerwijs je contacten. Ook hier zijn alle bovengenoemde informatie kinderlijk eenvoudig te benaderen. Daarnaast zijn ook je berichten te lezen en zou dit volgens Android Police slechts het tipje van de sluier zijn. Het is logisch dat geen enkele gebruiker van Skype hierop zit te wachten.
Volgens Android Police kan iedere kwaadwillende met een beetje kennis van development zonder al te veel moeite de Skype applicatie kopiëren en aangepast in de Market plaatsen. Vervolgens zou hij zonder moeite alle data kunnen verzamelen zonder dat iemand hier iets van merkt.
Ook geeft Android Police advies aan Skype over hoe zij dit op kunnen lossen. Als eerste raad Android Police aan om fatsoenlijke rechten te gebruiken. Daarnaast zou het gebruik van encryptie ook geen overbodige luxe zijn en als laatste zou Skype haar applicaties moeten laten testen door beveiligingsinstanties.
12 minuten geleden
