Sponsored Contents

androidの最新記事

Image credit:
Save

動画:Android版 Skype のDBは平文 & パーミッション全開、他アプリから参照可

Haruka Ueda
2011年4月15日, 午後01:15 in Android
1シェア
0
1,"likes":0
0

連載

注目記事

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待
12

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待

View

Android PoliceのJustin Case氏が、Skype for Androidのセキュリティ面に深刻な問題があると指摘しています。指摘の内容はSkypeの暗号をハックでどうこうといった難しいものではまったくなく、アプリが利用するsqlite3データベースが、パーミッションが不適切なうえ暗号化されておらず、ただ丸見えになっているというだけの話。Skypeのプロフィール(名前や住所や電話番号など、登録していれば)、アドレス帳、チャットのログといった文字通りの個人情報が無防備な状態で端末内に保存されていることになります。

iOSであれば他のアプリが作成したデータを参照することは原則としてできませんが、Androidではインストール時に権限を与えられたアプリであれば、このようにパーミッションが不適切である場合、他のアプリのデータも参照できてしまいます。つまり悪意のあるアプリがSkypeと同時にインストールされれば、そのアプリからSkypeの持つ個人情報を取得できるということ。あとはこっそりどこかへ送信する機能を加えれば、個人情報暴露アプリの完成です。Case氏は自作のテストアプリ Skypwned で実際の動作を確認済。現在、Skypeはこの問題を調査中とのこと。続きに実演動画を掲載しています。

追記:Skype も脆弱性を確認。修正中。





広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

1シェア
0
1,"likes":0
0

Sponsored Contents