Skype lascia accessibili troppi dati sensibili

Crittografare tutti i messaggi in chat potrebbe apparire poco sensato se scopri che la cronologia dei messaggi è archiviata in chiaro...

Avatar di Redazione - Sicurezza

a cura di Redazione - Sicurezza

Skype, il popolare software di videochat, messaggistica e telefonate via VOIP di Microsoft, lascia non criptati parecchi dati sensibili.

Lo affermano due programmatori rumeni, Cristian "DrOptix" Dinu e Dragos Gaftoneanu, che fanno parte di Hackyard Security Group, una comunità privata per la ricerca di sicurezza nell'IT.

Una utily liberamente scaricabile da web, ed ecco tutti i nostri dati esposti!

La premessa è che tutto il traffico di Skype, sia esso vocale, video, trasferimento di file o chat è interamente criptato. E queste sono le buone notizie. Il problema è che il software di Microsoft lascia in chiaro sul sistema dell'utente dati come nome, data di nascita, numero telefonico, città, paese e perfino la cronologia delle conversazioni.

Secondo i due ricercatori, i dati sono salvati in modo tale che chiunque abbia accesso al computer possa visualizzarli senza alcun problema.

Se dobbiamo esser onesti, non ci sembra una grande scoperta perché qualsiasi smanettone sa benissimo che questi file sono liberamente accessibili, ma se questo approccio andava bene fino a qualche anno fa (un file non criptato è comodo da gestire per gli utenti stessi), forse è arrivato il momento di rivederlo alla luce delle mutate necessità del mondo della sicurezza informatica.

Dragos ha infatti notato che Skype, mentre era in chat col collega Dinu, va a creare un file nella directory home di Linux chiamato "main.db".

Il file si trova in questi percorsi, diversi a seconda del sistema operativo:

-Linux: /home/user/.Skype/skypename

-Mac OS X: /Users/user/Library/Application Support/Skype/skypeuser

-Windows: C:UsersUsernameAppDataRoamingSkypeskype.id

Usando una utility SQLite, Dragos si è connesso al database creato da Skype, trovando l'account utente visibile in testo semplice, diviso in varie tabelle. In queste ultime ha potuto visualizzare username di Skype, data di nascita, numeri di telefono, indirizzi e-mail, città, paese e altre informazioni.

La tabella "CellMembers" colleziona le chiamate o le informazioni degli utenti con i quali si è parlato o inviato messaggi, mentre la tabella "Contacts" mostra gli stessi dati di cui sopra, ma in questo caso si parla di quelli delle persone con cui si ha avuto un contatto. Infine, la tabella "Messages" mostra tutta la cronologia dei messaggi chat. Anche altre tabelle riguardanti video chiamate o sms rivelano molto su noi e i nostri amici.

L'accesso a questo database creato da Skype richiede ovviamente che un potenziale attaccante abbia accesso al computer della vittima, ma non è così difficile  come sembra (basti pensare a un attacco remoto) e in ogni caso tutta questa serie di dati sensibili è facilmente raggiungibile e fruibile: basta sapere infatti in quale directory guardare!

I due ricercatori hanno testato tutto su Linux, ma ben presto si sono resi conto che Skype crea questo database pure sui sistemi Windows e Mac OS. La vulnerabilità è quindi estesa e Microsoft è stata informata del problema. Resta da vedere se e quando vorranno metterci una pezza.