動画:Android版 Skype のDBは平文 & パーミッション全開、他アプリから参照可
Android PoliceのJustin Case氏が、Skype for Androidのセキュリティ面に深刻な問題があると指摘しています。指摘の内容はSkypeの暗号をハックでどうこうといった難しいものではまったくなく、アプリが利用するsqlite3データベースが、パーミッションが不適切なうえ暗号化されておらず、ただ丸見えになっているというだけの話。Skypeのプロフィール(名前や住所や電話番号など、登録していれば)、アドレス帳、チャットのログといった文字通りの個人情報が無防備な状態で端末内に保存されていることになります。
iOSであれば他のアプリが作成したデータを参照することは原則としてできませんが、Androidではインストール時に権限を与えられたアプリであれば、このようにパーミッションが不適切である場合、他のアプリのデータも参照できてしまいます。つまり悪意のあるアプリがSkypeと同時にインストールされれば、そのアプリからSkypeの持つ個人情報を取得できるということ。あとはこっそりどこかへ送信する機能を加えれば、個人情報暴露アプリの完成です。Case氏は自作のテストアプリ Skypwned で実際の動作を確認済。現在、Skypeはこの問題を調査中とのこと。続きに実演動画を掲載しています。