Skype for Androidアプリは、ユーザーの機密データを危険にさらし、ユーザーの知らないうちに、あるいは同意なしに他のアプリに公開される可能性があります。Skypeは修正に取り組んでいますが、その間、データを守るために何をすべきでしょうか?
Android Police のジャスティン・ケース氏が最初にこの欠陥を発見し、Android デバイスの所有者のフルネーム、電話番号、電子メール アドレス、連絡先、さらには Skype のチャット ログなどの機密情報にユーザー名を必要とせずにアクセスできることを実証する概念実証として、Skypwned というアプリを開発しました。
しかし、今回の潜在的なデータ漏洩は、欠陥や脆弱性そのものに起因するものではなく、Skypeのセキュリティ設定の不備に起因するものです。ESETの技術教育ディレクター、ランディ・エイブラムス氏は、「単にデータを取得することを目的として作成された多くのAndroidアプリとは異なり、Skypeアプリは杜撰なプログラミング手法によってデータを漏洩させています。これは悪意と無能の違いです」と説明しています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、「Skypeには2つの問題点があります。まず、ファイルはより厳格な権限設定によってより適切に保護されるべきです。次に、そしてより重要なのは、すべての顧客/ユーザーデータは暗号化されて保存されるべきです」と説明し、「このアプリケーションはわざわざユーザーのデータを盗み出すわけではありませんが、他の不正なアプリケーションがまさにそれを行うのを非常に容易にしています」と付け加えました。
金曜日のSkypeセキュリティブログ投稿で、Skypeはこの問題を認めました。投稿には、「私たちはお客様のプライバシーを非常に重視しており、Android版Skypeアプリケーションのファイル権限の保護を含め、この脆弱性からお客様を保護するために迅速に取り組んでいます」と記載されています。
Skypeは、Androidデバイスにアプリを選択してインストールする際には、Skypeの脆弱性を悪用して公開された情報にアクセスする可能性のある悪意のあるアプリのインストールを避けるよう、ユーザーに注意を促しています。しかし、このガイドラインの問題点は、そのようなアプリには疑わしい権限や追加の権限が要求されないため、アプリが悪意のあるアプリであるかどうか、あるいは公開されたデータにアクセスしようとしているかどうかをユーザーが実際に判断できないことです。
では、Androidユーザーはこのような問題に注意し、悪質なアプリのインストールを避けるために、どうすれば良いのでしょうか? Credant Technologiesのプロダクトマーケティングディレクター、ジェフ・ウェッブ氏は、モバイルアプリによる情報保存方法の透明性が欠如しているため、アプリが安全か、安全でないか、あるいはAndroidデバイスを積極的に攻撃しているのかを判断するのが難しいと述べています。ウェッブ氏は、特に企業は、このようなデバイスがネットワークに接続し、あらゆる種類の機密データにアクセスすることを許可する際に、より慎重になる必要があると警告し、「これらのデバイスが少なくとも企業のノートパソコンやデスクトップシステムと同等の方法で管理され、保護されない限り、デバイス上のデータに対するリスクは高まるでしょう」と述べています。
