Skype are o grava problema de securitate

[Aerosol]

Doi programatori romani au descoperit o problema de securitate extrem de grava care ii afecteaza pe toti cei care si-au instalat Skype pe calculator. Printre cei vizati ar putea fi si cativa lideri ai lumii, de pilda cancelarul german Angela Merkel.

Apelurile si mesajele gratuite prin Skype au de fapt un pret: datele utilizatorilor sunt aproape complet neprotejate. Cel putin, asta sustin doi programatori romani, care au explicat pe site-ul HackerNews cat de simplu este ca datele utilizatorilor de Skype sa ajunga pe mana rauvoitorilor.

Cristian Dinu(mai cunoscut pe net drept DrOptix) si Dragos Gaftoneanu spun ca Skype stocheaza date pe calculator, indiferent ca e vorba de PC sau de Mac, intr-un fisier extrem de usor accesibil. In Windows, de pilda, fisierul se afla in AppData/Roaming/Skype.

Potrivit HackerNews, fisierul poate fi deschis cu orice program de editare a bazelor de date SQL iar in el se gasesc informatii care nu ati dori sa ajunga pe mana nimanui: contactele din agenda cu nume si numar de telefon, dar si datele tuturor convorbirilor si mesajelor, incluzand pana si localizarea utilizatorului in momentul in care a folosit Skype.

Pe scurt, daca cineva va intra pe calculator chiar si cateva minute, poate sa copieze acest fisier si apoi sa afle pe cine ati sunat de pe Skype, cand si de unde. Si asta fara sa fie vreun mare hacker. Problema e cu atat mai grava cu cat acum cateva zile Agentia americana pentru Securitate Nationala (NSA) a fost acuzata de fostul consultant Edward Snowden ca ar utiliza datele personale ale utilizatorilor Skype. Acuzatiile nu se refereau doar la utilizatorii de rand, ci si la cativa dintre liderii lumii, printre care cancelarul german Angela Merkel.

Skype are la ora actuala peste 400 de milioane de utilizatori in intreaga lume, dintre care mai mult de un milion in tara noastra. In 2011 Microsoft a cumparat compania care a creaat acest program, ce le permite utilizatorilor sa discute si sa schimbe mesaje pe Internet exact ca intr-o retea de telefonie, doar ca gratuit.

Sursa : protv.ro

[alexalghisi]

Unde isi baga Microsoft mana strica tot

[Che]

Pe scurt: Dragos Gaftoneanu (un alt utilizator de aici de pe forum) s-a dus in folderul unde se intaleaza Skype si a deschis cu Notepad fisierul cu contactele sau cu discutia si a vazut ca pur si simplu se poate vedea in Notepad ce e acolo. Dupa care a dat mail frumos astora de la PROTV (metoda Tinkode) sa le spuna ca trebuie musai o stire si cu el si marea lui gaselnita.

[SticKyWoX]

Mare cacat...si la yahoo se pot vedea contactele din fisiere, precum si cine s-a logat de pe pc-ul respectiv

"Grava problema de securitate"

[Stfean_Iordache]

@Dragos

Bravo de "descoperire"

[Mr.Proper]

Ce tarani obositi sunteti, omu' a descoperit ceva, voi ce pula mea ati descoperit?

Bravo lui si celorlalti!

[BadPorn]

Ba vere ce pula mea comentati aiurea? E ceva care chiar poate afecta un utilizator skype.. voi de ce nu faceti nimic? voi haterilor stati 24/7 si va scarpinati la coaie.

[EAdrian]

"Problema grav?" la Skype se g?se?te chiar la ei în FAQ https://support.skype.com/en/faq/FA413/how-do-i-back-up-my-configuration-and-instant-message-history

[SticKyWoX]

"Problema grav?" la Skype se g?se?te chiar la ei în FAQ https://support.skype.com/en/faq/FA413/how-do-i-back-up-my-configuration-and-instant-message-history

Na poftim, "grava problema de securitate".

[Nytro]

Mozilla Firefox, Google Chrome, Internet Explorer, Pidgin, FileZilla si in principal orice program care salveaza date locale are aceasta "problema de securitate". Si la OpenVPN gasesti cheile local. Si la Apache pe server ai cheia privata. Etc.

Mica diferenta e ca la unele programe procesul e putin mai complicat, datele sunt cryptate cu o cheie salvata local, in timp ce la altele sunt in plaintext. Dar tot local sunt salvate si tot pot fi "leaked" cum ziceti voi de catre acele magice programe care se cheama "STEALERE". Da, cred ca ati auzit de ele.

Singurele programe care nu au aceasta "problema" sunt cele care au setata o "master password".

[Guest Kovalski]

Mesajul a fost preluat pe majoritatea blogurilor de IT

https://www.google.ro/search?q=skype+hackyard&ie=utf-8&oe=utf-8&rls=org.mozilla:ro:-Official&client=firefox-a&channel=fflb&gws_rd=cr&ei=dT5lU6vyIaXx0gXCyYCwDg#q=skype+hackyard+-site:hackyard.net+-site:facebook.com+-site:rstforums.com&rls=org.mozilla:ro:-Official&start=0

Cam in toate limbile posibile, o fi sau nu "mare lucru" pentru altii este destul de "mare lucru"

Yahoo News

TimeNews

SecurityAffairs

HackerNews

BitDefender

welivesecurity

itsec.ru

ceva blog chinezesc

si altele, posibil chiar sa fie destul de grav.. n-a zis nimeni ca e de ieri treaba asta, dar e destul de nasol, si cu ocazia asta poate Microsoft o sa lucreze un pic mai mult la privacy, macar un masterpassword la acele db-uri.

Edited May 3, 2014 by ps-axl

[Nytro]

In afara de BitDefender unde e postat "automat", mai e TheHackerNews postat de un indian travestit.

Nu vad pe cineva serios sa ia in considerare aceasta problema non-existenta. Daca cumva se puteau citi REMOTE datele respective era "leak". Asa, nici cuvantul "leak" nu e folosit adecvat.

Filezilla: C:\Users\<username>\AppData\Roaming\FileZilla (*.xml)

Firefox: C:\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default (key3.db si signons.sqlite)

Chrome: C:\Documents and Settings\<username>\Local Settings\Application Data\Google\Chrome\User Data\Default (Exposing the Password Secrets of Google Chrome - www.SecurityXploded.com)

BRB, trimit catre site-urile de stiri descoperirile facute.

[Castiel]

Da-o in pula mea! /topic doxnu;

Bugu ala ce mai e? De nu-l rezolva ? Cand i futi paia i scoti dupa skype=)) .

[Gushterul]

Asa si Windowsul monitorizeaza de cate ori te autentifici in system si alte nebunii in log-uri.

Daca lasi pe cineva sa iti umble prin calculator autentificat, nu inseamna ca softwareul pe care il folosesti are probleme de securitate...

Hey bug de linux kernel, daca esti root poti sa vezi traficul cu tcpdump OMG! ALL SERVERS IN THA WORLD AFFECTED!

"Marea descoperire" are deja si software de ani de zile, cautati pe google SkypeLogView si zeci de filme pe Youtube care iti arata cum sa faci asta:)

[Dragos]

Nu e vorba de o descoperire, ci de o repunctare a problemei. Stiam de problema, stiam ca metasploit are modul de a citi baza de date.

Daca folosesti singura chestia asta, nu ai sanse sa faci nimic. Dar am mers pe ideea ca in ziua de azi, cand e vorba de leak-urile de la NSA si celelalte magarii, serviciile pot implementa intr-o aplicatie de-a lor sa citeasca si asta.

Bun, sa facem exceptie de ce am scris mai sus. Am scris in articolul de pe Hackyard ca Skype "makes the same files on every operating system". Si da, este vorba despre orice sistem, inclusiv cele de pe telefoanele mobile. Aici este o problema foarte mare. Pe iOS de exemplu, orice aplicatie instalata poate citi main.db-ul.

Repunctarea problemei nu a fost pentru Linux pe care am facut POC-ul, pentru Windows sau pentru Mac, ci pentru telefoanele mobile pentru ca ele nu stiu momentan sa te protejeze de asta.

//Da, la fel de bine pot citi si alte fisiere din telefon. Dar ideea s-a limitat doar la Skype.