Las aplicaciones para Android siguen siendo un quebradero de cabeza para los usuarios de esta plataforma. Si hace unas semanas comentábamos la eliminación del Android Market de una elevada cantidad de aplicaciones que habían sido catalogadas como maliciosas, ahora vemos como, recientemente, algunos investigadores han comprobado que aplicaciones de terceros podrían acceder a información confidencial de nuestra cuenta de Skype debido a una vulnerabilidad en esta aplicación.
Así pues, una aplicación maliciosa podría acceder a la información relativa a la aplicación Skype para Android almacenada en nuestro dispositivo. Esta información incluye datos del perfil de usuario y mensajes enviados. En la aplicación Skype para Android, los archivos privados se almacenan en una carpeta llamada de igual forma que el nombre de usuario de Skype. Esta carpeta contiene archivos donde se almacenan los contactos, registros de los mensajes, perfil del usuario, etc. No obstante, estos archivos tienen unos permisos inadecuados, permitiendo su lectura a cualquier usuario o aplicación que accediese a la carpeta, ya que además no se encuentran cifrados.
Por defecto, la aplicación de Skype almacena el nombre de usuario en una ubicación conocida, por lo que es fácil para una aplicación maliciosa conseguir acceder a ese fichero. Una vez obtenida esa información, solo se ha de buscar la carpeta con ese nombre para proceder al robo de la información confidencial. Este tipo de información abarca todo tipo de datos personales, como el nombre, dirección, teléfono móvil, fecha de nacimiento, etc.
El acceso a esta información puede hacer que se lancen ataques dirigidos a los usuarios que hayan visto sus datos comprometidos por esta vulnerabilidad. Conociendo esta información privada e incluyéndola en correos de phishing, el usuario será menos propenso a desconfiar y será más probable que caiga en la trampa preparada por los ciberdelincuentes.
Desde Skype ya han asegurado que se encuentran trabajando para solucionar esta vulnerabilidad por lo que, desde el laboratorio de ESET en Ontinet.com, confiamos en que los usuarios pronto dispongan de una versión que solucione este agujero de seguridad.
Josep Albors
Actualización: Skype acaba de anunciar que ha lanzado una actualización de su software para Android que soluciona esta vulnerabilidad. Es recomendable que todos los usuarios de esta aplicación actualicen a esta nueva versión para evitar la fuga de datos.