Muchas veces comentamos acerca de distintas amenazas existentes para Android, la plataforma móvil de Google. En esta ocasión, queremos compartir con ustedes una falla detectada en Skype, el reconocido software para realizar llamadas a través de Internet, que podría llevar a la fuga de información de millones de usuarios.
La vulnerabilidad detectada en Skype es altamente riesgosa y es posible que se esté filtrando información de los usuarios desde octubre del 2010. Los datos del usuario pueden ser leídos por cualquier aplicación instalada en el dispositivo móvil, motivo por el cual esta situación es tan crítica.
Una vez que Skype ha sido instalado en el sistema, crea una carpeta con el nombre del usuario que ha iniciado sesión y, dentro de este directorio almacena toda la información de la cuenta en distintas bases de sqlite3. La información contenida en este motor de bases de datos utilizado en Android, no se encuentra cifrada y puede ser accedida por cualquier otra aplicación lo que podría derivar en fuga de información.
¿Qué información se puede filtrar? Entre la información que se puede filtrar se encuentran todos los datos que el usuario ha cargado en su cuenta de Skype, entre ellos remarcamos:
- Saldo de la cuenta
- Nombre completo del usuario
- Fecha de nacimiento
- Ciudad/Estado/País
- Número de teléfono
- Número de celular
- Correo electrónico
- Conversaciones almacenadas
- Contactos
La principal falla que podemos destacar en esta ocasión es que toda la información del usuario se encuentra accesible y en caso que el dispositivo sea infectado por algún código malicioso sus datos pueden ser reenviados sin que el usuario sea consiente de ello.
En lo que respecta a la seguridad de la información hay tres conceptos que no se deberían de quebrantar: la confidencialidad, la integridad y la disponibilidad. La vulnerabilidad presente en Skype no puede asegurar que los datos del usuario no hayan sido leídos por alguna otra aplicación, motivo por el cual la confidencialidad de los mismos no se encuentra garantizada desde octubre del año pasado.
Siempre recomendamos a los usuarios prestar especial atención al instalar nuevas aplicaciones en sus equipos, contar con una solución antivirus y contar con buenas prácticas para el uso de dispositivos móviles. Skype ya se encuentra al tanto de esta situación y está trabajando para publicar una actualización que solucione esta vulnerabilidad.
Actualización 20/04/2011 a las 11:50hs.: Skype ha publicado una nueva actualización que soluciona la vulnerabilidad reportada. La misma ya se encuentra disponible para la descarga.
Pablo Ramos
Especialista de Awareness & Research