PUEDEN SABER MIS CONVERSACIONES Y DEMÁS INFORMACIÓN DE MIS ACTIVIDADES DE SKYPE EN MI TELEFONO?

(la pregunta de la semana)

La respuesta es SI amigo.

En principio estos datos están codificados en el teléfono, pero esta es pobre en seguridad permitiendo al atacante acceder a los datos del usuario sin su consentimiento.

Cristian Dinu (DrOptix) y Dragoş Gaftoneanu, programadores rumanos en Hackyard Security Group, una comunidad privada dedicó a ELLO enfoques de investigación de seguridad ‘El editorial’ de Noticias de Hacker y afirmó que Microsoft poseyó el servicio de vocación de voz libre más popular Skype deja su base de datos local no codificada, que pone la información sensible de los usuarios en peligro.

Toda la conversación de voz Skype-to-Skype, el vídeo, las transferencias de archivos y los mensajes inmediatos son codificados. Aunque, también se suponga que la base de datos local de Skype es codificada porque es bastante sensible, pero Dragoş encontró que Skype deja el nombre completo de los usuarios, cumpleaños, números de teléfonos, país, ciudad y hasta conversaciones de charla llenas no codificadas en el disco duro de los sistemas en una posición conocida sin cualquier codificación o contraseña.

Skype es un gratis en línea servicio que permite que usuarios se comuniquen con pares por la voz usando un micrófono, vídeo usando una cámara conectada a Internet, y mensajería inmediata sobre Internet. Debido a su popularidad mundial fue adquirido por Microsoft Corporation durante el mayo de 2011 por US$8,5 mil millones.

COMO SE EXPLOTA ESTA VULNERABILIDAD.
Dragoş afirmó que la información privada de usuarios skype es almacenada de tal modo que cualquiera con el acceso al dispositivo puede ver las charlas privadas, usernames, número de teléfono etc. y usarlos con cualquier objetivo.

Los datos no criptografiados son obviamente una escapatoria para criminales ciber y la base de datos no criptografiada de Skype también muestra la información de posición de los usuarios, como país y ciudad, que podría ser considerada un premio mayor para hackeres desagradables.

Charlando con su amigo ‘Cristian Dinu’ en Skype, Dragoş notó una carpeta en su directorio de inicio de Linux que contiene un archivo de base de datos, llamado main.db, creado por el software de Skype.

EnLinux: /home/user/.Skype/skypename/
En Mac OS X:/Users/user/Library/Application Support/Skype/skypeuser
En Windows: C:\Users\Username\AppData\Roaming\Skype\skype.id

Usando la utilidad de SQLite, Dragoş relacionados con la base de datos de Skype no criptografiada y usuario de Skype encontrado consideran la información relacionada en plaintext bajo mesas diferentes.

skype-database-hack

La mesa de Cuenta contiene la información básica del usuario, como el skypename, fullname, cumpleaños, país, ciudad, números de teléfonos móviles, correos electrónicos de Cuentas, etc.

Otra Mesa puso etiqueta a tiendas ‘de CallMembers’ la información sobre cuando y a quien el usuario llamó. La mesa ‘de Contactos’ almacena al amigo del usuario lista junto con skypename, fullname, y algunas columnas interesantes, como cumpleaños, país, ciudad y phone_mobile.

La mesa más sorprendente salió para ser los ‘mensajes’ la Mesa que almacena las conversaciones de charla de los usuarios en el formato de texto sin formato completo. Incluso algunas mesas en cuanto a llamadas de vídeo y SMSes también enviaron revela los datos personales de los usuarios.

Un defecto en el servicio de mensajería y vocación de voz popular puede haber abandonado a sus Millones de usuarios vulnerables a los atacantes almacenando los datos de tal modo que cualquiera puede leerlo. Los detalles de los usuarios son guardados el interior de los archivos de base de datos de Skype sepultados dentro del sistema de archivos, pero cualquiera podría verlo si ellos tuvieran el acceso al dispositivo de los usuarios y supieran donde mirar.

Es completamente fácil robar los archivos de historia y con la ayuda de algún software especial uno puede ver toda la historia sin su contraseña de Skype.

El investigador probó esto en Linux sistema operativo basado pero más tarde se encontró que la aplicación hace los mismos archivos sobre cada sistema operativo.

Dragos aconsejó que usuarios quitaran el contenido de main.db cada vez que ellos cierran la aplicación de Skype y también proveyeron Linux escritura basada para quitar main.db automáticamente, que los usuarios sólo tienen que hacerlo dirigir en cada arranque. A usuarios les aconsejan almacenar sus archivos de perfil de Skype sobre el volumen criptografiado o en el contenedor criptografiado.

Esto es un ejemplo de prácticas de desarrollo de software pobres. Microsoft debería tomar medidas preventivas para asegurar la intimidad de datos de usuarios.

Es importante tener en cuenta que esta misma situación de vulnerabilidad es válida para Whatsapp

Leave a Comment