Найдена уязвимость в Skype для Android

В приложении Skype для платформы Android эксперты нашли уязвимость, которая теоретически позволяет злоумышленникам незаметно для владельца смартфона похищать персональную информацию. Об этом сообщается в блоге Skype.

Уязвимость обнаружили в четверг независимые эксперты блога Android Police, посвященного вопросам информационной безопасности мобильной платформы от Google. По их данным, опасности подвергаются свыше 10 миллионов пользователей приложения Skype для Android. Представители Skype изучали уязвимость и в пятницу признали ее существование.

"Нам стало известно, что возможно появление вредоносного приложения, которое после установки на Android-устройство может обеспечить злоумышленникам доступ к данным о профиле пользователя и его текстовым сообщениям", - написал в блоге шеф по безопасности Skype Эдриан Эшер (Adrian Asher). Он добавил, что инженеры Skype уже работают над устранением уязвимости и посоветовал пользователям внимательнее относиться к выбору приложений, которые они хотят загрузить на свои смартфоны.

По данным Android Police, уязвимость заключается в том, что программисты Skype по ошибке оставили незашифрованными несколько файлов, которые создаются при установке приложения в память устройства, и в которых хранится персональная информация владельца аккаунта Skype. Доступ к этой информации можно получить даже без специального приложения - пользователь просто должен представлять, как работает программа и где искать ее системные файлы.

Если кто-то решит атаковать владельцев Android через уязвимость в Skype, злоумышленнику не потребуется создавать сложное приложение. Файлы находятся практически в открытом доступе, и хакерам не нужно получать "административные" права в ОС Android и прибегать к другим ухищрениям, которые обычно используются для взлома системы. По словам авторов блога, теоретически хакер может создать модифицированную версию приложения и через нее похитить пользовательские данные, вплоть до настоящего имени, домашнего адреса и телефона. Android Police указывает, что уязвимость существует с самого момента публикации приложения в Android Market в октябре 2010 года.