Encuentran una vulnerabilidad en Skype para Android

La herramienta VoIP deja una brecha de seguridad para datos como la ID de usuario, los números de teléfono o las conversaciones de chat.

La firma de comunicaciones Skype ha confirmado una vulnerabilidad detectada por la web Android Police en la versión de su software para dispositivos con Android.

Mediante este agujero, la aplicación VoIP expondría los datos de los propietarios de los terminales a los ciberdelincuentes, que podrían apropiarse fácilmente de información como la ID de usuario, los números de teléfono y los chat logs (ficheros en los que se almacenan las conversaciones mantenidas a través del chat de Skype).

El problema se debería a que los datos se almacenarían sin cifrar en bases de datos sqlite3 y Skype para Android se serviría de permisos incorrectos para estas bases de datos. Dado que la ID de usuario se conserva en una ubicación estática, una vez que es leída, permite el acceso a estas bases internas.

Una app maliciosa sería capaz de poder acceder a las bases de datos de Skype, descargando toda esa información sensible de los teléfonos y tablets con Android. Así, en Android Police han creado una denominada ‘Skypwned’ para demostrar que la brecha de seguridad existe.

El fallo se ha detectado siete meses después de que el programa se comenzara a distribuir en Android Market.