Android版SkypeのDBがハック?される可能性が高い
Androidアプリはインストール時に権限が表示されるが
そのアプリ以外のデータファイルも触ることが可能なので
保存したデータファイルのパーミッションがしっかりしていないと
他のアプリから見られてしまいます。
今回問題だったのは、sqliteで保存したデータが暗号化していないということで
Skypeに登録してある、名前、住所、電話番号、アドレス帳など
個人情報が他のアプリから見える結果となっていました。
ハックというより、共有ファイルとして個人情報が置かれている感じです。
# ls -l /data/data/com.skype.merlin_mecha/files/ユーザ名 -rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db -rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal -rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db -rw-rw-rw- app_152 app_152 3522 2011-04-12 23:39 config.xml drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail -rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck -rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db drwxrwxrwx app_152 app_152 2011-04-12 21:49 chatsync -rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal -rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal
ユーザ名が分からなければ、ディレクトリにいけないから平気・・ではありません。
こんなに簡単にユーザ名が分かります。
# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml
-rw-rw-rw- app_152 app_152 56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
<Default>ユーザ名</Default>
iOSでは他のアプリのデータを参照できませんが(基本)
Androidアプリは気をつけなきゃいけません。
情報元
androidpolice