Skypeは、Androidスマートフォンで機密データが漏洩する原因となっていた設定上の問題を修正したSkype for Androidの新バージョンをリリースしました。データの保護を確実にするために、できるだけ早くSkype for Androidを最新バージョンにアップデートしてください。
先週、Android Policeの研究者たちは、Skype for Androidアプリがスマートフォン上の機密データを無防備な状態にし、簡単にアクセスできるようにしていることを明らかにしました。Skypwnedと呼ばれる概念実証アプリは、追加のユーザー名、パスワード、権限を必要とせずに、Skypeが残したセキュリティホールから個人データを簡単に抽出できることを実証しています。
ダンバラのリサーチ担当副社長、グンター・オルマン氏は、Skype for Androidアプリはスマートフォンに保存されたデータを保護するための暗号化やファイルセキュリティを実装していないと説明しています。これは脆弱性そのものではなく、確立されたセキュリティのベストプラクティスを遵守していない設定エラーです。Skypeは失敗しました。
しかしオルマン氏は、この問題は必ずしもSkypeに限ったことではないと明言した。「Androidアプリの多くは(Androidに限った話ではないが)、保存時に個人データを適切に保存できていない。理想的には、ファイル権限を利用して、デバイスに保存されたデータが他の「不正な」アプリからアクセスされるのを防ぐべきだ。」
Webrootの脅威アナリスト、アルマンド・オロスコ氏も同意見で、「このニュースを受けて、多くの開発者がコードを見直しているはずです。これはSkypeに限ったことではなく、この脆弱性が見つかった最初の有名企業というだけです」と述べています。
保存データの暗号化も強く推奨されます。しかし、オルマン氏によると、データの暗号化と復号化に伴う高度な数学処理はスマートフォンに負担をかけ、バッテリー寿命とパフォーマンスに深刻な影響を与える可能性があります。アプリ開発者は、ユーザーがアプリを使いたくなくなるほどスマートフォンのエクスペリエンスに悪影響を与えることなく、機密情報を保護するためのバランスを取る必要があります。
アップデートされたアプリの提供開始を発表したブログ記事の中で、Skypeはプライバシーを非常に重視していることを強調し、データの漏洩を許してしまったことについて改めて謝罪しました。Skypeによると、朗報としては、サードパーティの悪意あるアプリがSkypeによって残された脆弱性を悪用したという報告は今のところないということです。もちろん、そのような脆弱性が既に発生している、あるいは現在発生している可能性も十分にあり、まだ発見されていないだけかもしれません。
Skype は、注目を集めて悪質なトロイの木馬バージョンをダウンロードさせ、問題を「解決」しようとするような試みを回避するために、ユーザーに対し、Skype for Android アプリは skype.com または公式の Google Android Market から直接ダウンロードするように警告しています。
