Android版SkypeのDBが危ない

  • このエントリーをはてなブックマークに追加

Android版SkypeのDBがハック?される可能性が高い

android_skype

Androidアプリはインストール時に権限が表示されるが
そのアプリ以外のデータファイルも触ることが可能なので
保存したデータファイルのパーミッションがしっかりしていないと
他のアプリから見られてしまいます。

今回問題だったのは、sqliteで保存したデータが暗号化していないということで
Skypeに登録してある、名前、住所、電話番号、アドレス帳など
個人情報が他のアプリから見える結果となっていました。

ハックというより、共有ファイルとして個人情報が置かれている感じです。

# ls -l /data/data/com.skype.merlin_mecha/files/ユーザ名
-rw-rw-rw- app_152  app_152    331776 2011-04-13 00:08 main.db 
-rw-rw-rw- app_152  app_152    119528 2011-04-13 00:08 main.db-journal 
-rw-rw-rw- app_152  app_152     40960 2011-04-11 14:05 keyval.db 
-rw-rw-rw- app_152  app_152      3522 2011-04-12 23:39 config.xml 
drwxrwxrwx app_152  app_152           2011-04-11 14:05 voicemail 
-rw-rw-rw- app_152  app_152         0 2011-04-11 14:05 config.lck 
-rw-rw-rw- app_152  app_152     61440 2011-04-13 00:08 bistats.db 
drwxrwxrwx app_152  app_152           2011-04-12 21:49 chatsync 
-rw-rw-rw- app_152  app_152     12824 2011-04-11 14:05 keyval.db-journal 
-rw-rw-rw- app_152  app_152     33344 2011-04-13 00:08 bistats.db-journal

ユーザ名が分からなければ、ディレクトリにいけないから平気・・ではありません。
こんなに簡単にユーザ名が分かります。

# ls -l /data/data/com.skype.merlin_mecha/files/shared.xml 
-rw-rw-rw- app_152  app_152     56136 2011-04-13 00:07 shared.xml
# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml 
      <Default>ユーザ名</Default>

iOSでは他のアプリのデータを参照できませんが(基本)
Androidアプリは気をつけなきゃいけません。

情報元
androidpolice

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。