Hatena::ブログ(Diary)

Hacking My Way 〜 itogのhack日記 RSSフィード Twitter

2011-04-15

【注意】Android版skypeで個人情報ダダ漏れ。アンインストールしましょう。

Android版のSkypeで個人情報が他のアプリから丸見えになっているという問題が報告されてます!

http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/

AndroidはアプリごとにLinuxのユーザIDが違うから普通に作れば他のアプリからデータが読めるようなことはないのでまさかそんなことはないだろ、って思って確認してみたが、マジで記事のとおりダダ漏れだった。

4/17 追記

確認したのはAndroid Marketにあがっている Skype です。au版のSkypeでは同様の方法では個人情報にアクセス出来ないようです。

追記ここまで

元記事ではリーク版のパッケージ名らしいものを使っているが、自分の端末にインストールしている、マーケットにあがってる正式版の com.skype.raider で同様のことが確認できてしまいました、、、(ちゃんと読むと記事にも書いてある)。

ここにSkypeIDが晒されていて、

  • /data/data/com.skype.raider/files/shared.xml
<?xml version="1.0"?><config version="1.0" serial="1260" timestamp="1302841055.30">
  <Lib>
    <Account>
      <Default>★skype ID★</Default>
    </Account>
    ...

DBはここに晒されてます

  • /data/data/com.skype.raider/files/★skype ID★/main.db

中身はこんな感じ

Accounts        ChatMembers     Conversations   Participants    Voicemails   
Alerts          Chats           DbMeta          SMSes        
CallMembers     ContactGroups   LegacyMessages  Transfers    
Calls           Contacts        Messages        Videos  

AccountsにはSkypeに登録している自分のアカウント情報、Contactsには連絡先情報など、、、、

ここまで簡単にダダ漏れはちょっと考えられない。

いったんアンインストールをしてFixを待ちましょう。


追記

修正されたようですね

http://japanese.engadget.com/2011/04/20/skype-for-android/

あわせて読みたいブログパーツ テクノラティのお気に入りに追加する