News: Schlampig programmiert
Seit Oktober 2010 ist die Telefonie-/Videokonferenz-Anwendung Skype auch als App für Smartphones mit Android Betriebssystem erhältlich. Jetzt wird vor der kostenlosen Lösung ausdrücklich gewarnt. Laut Bericht von Justin Case auf www.androidpolice.com gibt es eine schwerwiegende Sicherheitlücke. Angreifer können dadurch die privaten Daten von Skype-Nutzern ermitteln: Name, Telefonnummer, Chat-Aufzeichnungen und weiteres.
Justin Case hat die Lücke in einer Beta-Version der neuen Skype Video App entdeckt, die seit einiger Zeit bereits im Netz kursiert. Bei seiner Untersuchung fand er raus, dass die schwerwiegende Sicherheitslücke nicht nur bei dieser (noch nicht offiziellen) Beta kursiert, sondern auch in der Skype-App, die seit Oktober 2010 offiziell verbreitet wird. Inzwischen hat Skype zur Sache Stellung genommen (siehe Privacy vulnerability in Skype for Android) und erklärt (sehr vereinfacht) wie die "Lücke" funktioniert.
Wird eine bösartige App eines anderen Anbieters installiert, dann kann die auf Dateien zugreifen, die Skype auf dem Android-Gerät speichert. Skypes Tipp das zu verhindern besteht aktuell einfach darin, nur "saubere" gutartige Apps zu installieren. Mit hoher Wahrscheinlichkeit wird Skype jetzt wohl mit Hochdruck an einer "besseren Lösung" zum Stopfen des Lochs arbeiten.
Michael Nickles meint: Dass heute fast jede Software mit Sicherheitslöchern vermurkst ist, wundert ja kaum noch jemanden. Das Skype-Leck scheint allerdings eine recht peinliche Nummer zu sein, da die Programmierer sich wohl einen ziemlichen Patzer geleistet haben. Justin Case erklärt in seinem Bericht ausführlich, was schief gelaufen ist.
Innerhalb des Datenverzeichnisses von Skype wird von der App ein Unterverzeichnis eingerichtet, das den Namen des Nutzers trägt. Darin befinden sich ein paar sqlite3-Datenbanken-Dateien, die halt alle persönlichen Informationen des Nutzers enthalten. Die Zugriffsrechte auf diese Dateien sind dummerweise falsch gesetzt, womit jede App auf sie zugreifen können.
Und: die Dateiinhalte liegen im Klartext vor, sind nicht verschlüsselt. Der Loch-Entdecker Case erklärt exakt, wie "bösartige" Apps diese Daten auslesen können und auch, was Skype tun kann, um das Problem zu lösen und so was künftig zu vermeiden: die Zugriffsrechte auf die Daten einschränken, sie verschlüsseln und Apps künftig besser auf Sicherheitslücken untersuchen, bevor sie rausgelassen werden.
Aktuell bleibt also nur zu hoffen, dass das möglichst rasch passiert.
