数百万人のユーザーに影響を与える可能性のある脆弱性により、Skype の Android アプリで名前、電子メール アドレス、電話番号、連絡先、チャット ログがすべて盗まれる可能性があると報じられています。
Android Policeのジャスティン・ケース氏は、流出したSkypeビデオをダウンロードして調査した結果、この脆弱性を発見しました。その後、2010年10月から提供されているAndroid版Skypeにも同様の脆弱性を発見しました。Skypeモバイル
Verizon はこの脆弱性の影響を受けません。
更新: Skype はブログにこの脆弱性を確認する声明を掲載しました。
同社は「当社はユーザーのプライバシーを非常に真剣に受け止めており、Android版Skypeアプリケーションのファイル権限の保護を含め、この脆弱性からユーザーを保護するために迅速に取り組んでいる」と述べた。
「個人情報を保護するために、デバイスにダウンロードしてインストールするアプリケーションを慎重に選択することをお勧めします。」
問題は、Skypeがユーザーのプロフィール情報を不適切な権限を持つデータディレクトリに保存し、ユーザー名を静的な場所に保存していることです。そのため、悪意のあるアプリは、わずかなコードでこれらのデータを解析できます。Skypeの連絡先やチャットのテーブルも同様です。この脆弱性によって漏洩する可能性があるのは、パスワードや金融情報ではなく、膨大な個人データやプライベートな通信だけです。
「もし Google が誤ってユーザーの Google Talk ログを、電子メール アドレス、名前、電話番号とともにすべて漏洩したらどうなるでしょうか。このような情報漏洩は、大量のユーザー流出を引き起こす可能性があり、連邦政府による調査が行われることも考えられます」と Case 氏は書いています。
これらは深刻な疑惑であり、Skypeは調査中だと発表しています。一方、Case社は脆弱性の仕組みを示す概念実証をアップロードしました。
Skypeがセキュリティ問題に直面するのは今回が初めてではありません。2008年には、Skypeの「チャットにビデオを追加」機能のユーザーがプログラミングエラーの影響を受け、攻撃者が一時的に被害者のコンピューター上でスクリプトコードを実行できるようになり、悪意のあるソフトウェアが侵入する恐れがありました。Skypeは数週間後にこの脆弱性を修正しました。もしAndroidユーザーのデータが実際に公開されているのであれば、Androidアプリの修正もそれほど時間はかからないでしょう。
さらに多くの技術ニュースや解説を入手するには、Facebook や Twitter、Today @ PCWorld で Jared をフォローしてください。
