Skype para Android tem risco para dados pessoais

Uma falha no Skype for Android pode permitir que criminosos
colham dados pessoais em smartphones, incluindo o nome do usuário e seu
endereço de e-mail, contatos e registros de bate-papo, confirmou a empresa de
software na sexta-feira (15/4).

Um pesquisador de segurança chamou a falha de “codificação
desleixada” e “um desrespeito à privacidade”.

Na semana passada, Justin Case, colaborador regular do blog
Android Police, revelou que o Skype para Android não bloqueia acesso a vários
arquivos de dados importantes armazenados no aparelho.

Os arquivos contêm diversas informações sobre a conta Skype
e o dono do celular, como nome completo, data de nascimento, telefones de
contato e saldo da conta.

Case disse que também são acessíveis os logs de bate-papo
instantâneo e todos os contatos do Skype.

“O Skype erroneamente deixou esses arquivos com permissões
impróprias, permitindo que qualquer um ou qualquer aplicativo tenha acesso a
eles”, disse Case. “Eles não apenas são acessíveis como estão completamente
descriptografados.”

Case criou uma app Android que demonstra como os dados podem
ser recuperados, e alertou que hackers poderiam fazer o mesmo.

“Um desenvolvedor mal intencionado poderia modificar uma app
existente com o código de nossa prova de conceito, distribuir a aplicação no mercado
e simplesmente esperar até que os dados pessoais dos usuários cheguem a ele”,
disse Case.

Sem prazo
A preocupação de Case tem fundamento. No mês passado, a
Google advertiu que mais de 50 apps infectados por malware estavam no Android
Market.

Na sexta-feira (15/4), a Skype reconheceu o que chamou de “vulnerabilidade
de privacidade” em seu cliente Android. A empresa prometeu consertar o
problema, mas não divulgou prazos.

“Nós estamos trabalhando rapidamente para protegê-lo desta
vulnerabilidade, o que inclui aumentar a segurança das permissões de arquivo da
aplicação Skype for Android”, disse Adrian Asher, principal executivo de
segurança da Skype, no blog da empresa.

Asher também conclamou os usuários a “tomar cuidado e
selecionar quais aplicações baixar e instalar” em seus smartphones.

Chet Wisniewski, pesquisador de segurança da Sophos, não viu
grande valor neste conselho. Para ele, a medida mais segura que os usuários
podem tomar é apagar o Skype de seus smartphones.

Wisniewski argumentou que a falha revelada por Case pode não
ser realmente uma vulnerabilidade. “Isso pode ser simplesmente ser descrito na
melhor das hipóteses como uma codificação desleixada, ou no pior caso um
desrespeito à nossa privacidade”, disse. “Mas isso me faz pensar sobre a
aplicação Skype para o iOS. Seria ela mais segura por estar na App Store da
Apple?”

O app Skype Mobile para a operadora americana Verizon não é
afetado pelo problema, afirmou Case.