适用于Android用户的Skype由于文件权限分配不正确

2020-03-26 10:13:45

近期涉及适用于Android用户的Skype由于文件权限分配不正确内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于适用于Android用户的Skype由于文件权限分配不正确最新消息。

Android开发人员发现,Skype的Android应用在本地存储数据的方式中的一个漏洞可能潜在地暴露用户的敏感信息。

业余Android开发人员贾斯汀·凯斯(Justin Case)4月15日在Android Police博客上写道,Skype for Android无法将敏感的用户数据安全地存储在用户的Android设备上,任何试图收集数据的第三方应用程序都可以访问该信息。凯斯说,这些数据包括姓名,出生日期,位置信息,账户余额,电话号码,电子邮件地址和传记详细信息。

该安全问题是在挖掘泄漏的Skype视频Beta时发现的,并确认在适用于Android的Skype Mobile标准版本中存在相同的错误。Skype Mobile for Verizon不受影响。

凯斯说:“我发现这个应用存储私人用户数据的能力很差。”

Case编写了一个流氓应用程序,可以收集用户信息而无需任何特殊权限。一旦将恶意应用安装在还安装了Android版Skype的手机上,它便可以监听并收集用户数据。Case说,该应用程序将能够从标准的Android设备中获取数据,而不仅仅是越狱的设备。

凯斯写道:“我为我可以收获多少信息而感到震惊。”

该问题存在于Skype的数据目录文件夹中,该文件夹存储用户联系人,配置文件和即时消息日志。这些文件的权限不当,使任何具有数据收集功能的应用程序都可以访问它们。用户名和文件夹位置也存储在静态位置,理论上可以解析文件以获得对用户信息的访问。

从理论上讲,流氓开发人员可以修改现有的应用程序,通过Google Marketplace分发该应用程序,并在流进来时收集数据。信用卡信息并未包括在内,也无法使用此方法加以破坏,但是暴露的数据“仍然很明显非常私密。”凯斯说。

仅main.db文件会产生许多敏感的用户信息,包括帐户表中的帐户余额,电话号码,位置和电子邮件地址。联系人表包含有关用户联系人的类似信息,而聊天表列出了所有交换的Skype即时消息。

Case认为问题仅存在于最新的beta版本中,因此研究了自10月以来可用的标准版本,并发现了相同的漏洞。Case推测,该问题影响了该应用程序的所有“至少1000万用户”。

凯斯说:“想象一下,如果Google意外泄漏了您所有的Google Talk日志以及您的姓名,电子邮件地址和电话号码-这样的违规行为可能导致大量用户外流。”

Skype在其博客文章中表示,它正在调查此问题,但承认在Android手机上安装恶意第三方应用程序的用户可能会暴露移动应用程序本地存储在手机上的数据。

Skype在其博客文章中说:“我们非常重视您的隐私,并正在迅速努力保护您免受此漏洞的侵害,包括保护Skype for Android应用程序的文件权限。”

Skype以前曾遇到安全问题。2008年,Skype的“添加视频聊天”功能使攻击者能够在受害者的计算机上运行脚本代码并安装恶意软件。漏洞发布几周后,Skype修复了该问题。

Case说,Skype应该使用适当的文件权限,加密本地存储的数据,并在发布移动应用程序之前对其进行检查。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。