Uma falha no Skype for Android pode permitir que criminosos colham dados pessoais em smartphones, incluindo o nome do usuário e seu endereço de e-mail, contatos e registros de bate-papo, confirmou a empresa de software na sexta-feira (15/4). Um pesquisador de segurança chamou a falha de “codificação desleixada” e “um desrespeito à privacidade”. Na semana […]
Uma falha no Skype for Android pode permitir que criminosos
colham dados pessoais em smartphones, incluindo o nome do usuário e seu
endereço de e-mail, contatos e registros de bate-papo, confirmou a empresa de
software na sexta-feira (15/4).
Um pesquisador de segurança chamou a falha de “codificação
desleixada” e “um desrespeito à privacidade”.
Na semana passada, Justin Case, colaborador regular do blog
Android Police, revelou que o Skype para Android não bloqueia acesso a vários
arquivos de dados importantes armazenados no aparelho.
Os arquivos contêm diversas informações sobre a conta Skype
e o dono do celular, como nome completo, data de nascimento, telefones de
contato e saldo da conta.
Case disse que também são acessíveis os logs de bate-papo
instantâneo e todos os contatos do Skype.
“O Skype erroneamente deixou esses arquivos com permissões
impróprias, permitindo que qualquer um ou qualquer aplicativo tenha acesso a
eles”, disse Case. “Eles não apenas são acessíveis como estão completamente
descriptografados.”
Case criou uma app Android que demonstra como os dados podem
ser recuperados, e alertou que hackers poderiam fazer o mesmo.
“Um desenvolvedor mal intencionado poderia modificar uma app
existente com o código de nossa prova de conceito, distribuir a aplicação no mercado
e simplesmente esperar até que os dados pessoais dos usuários cheguem a ele”,
disse Case.
Sem prazo
A preocupação de Case tem fundamento. No mês passado, a
Google advertiu que mais de 50 apps infectados por malware estavam no Android
Market.
Na sexta-feira (15/4), a Skype reconheceu o que chamou de “vulnerabilidade
de privacidade” em seu cliente Android. A empresa prometeu consertar o
problema, mas não divulgou prazos.
“Nós estamos trabalhando rapidamente para protegê-lo desta
vulnerabilidade, o que inclui aumentar a segurança das permissões de arquivo da
aplicação Skype for Android”, disse Adrian Asher, principal executivo de
segurança da Skype, no blog da empresa.
Asher também conclamou os usuários a “tomar cuidado e
selecionar quais aplicações baixar e instalar” em seus smartphones.
Chet Wisniewski, pesquisador de segurança da Sophos, não viu
grande valor neste conselho. Para ele, a medida mais segura que os usuários
podem tomar é apagar o Skype de seus smartphones.
Wisniewski argumentou que a falha revelada por Case pode não
ser realmente uma vulnerabilidade. “Isso pode ser simplesmente ser descrito na
melhor das hipóteses como uma codificação desleixada, ou no pior caso um
desrespeito à nossa privacidade”, disse. “Mas isso me faz pensar sobre a
aplicação Skype para o iOS. Seria ela mais segura por estar na App Store da
Apple?”
O app Skype Mobile para a operadora americana Verizon não é
afetado pelo problema, afirmou Case.
