Skype für Android: Schwachstelle offenbart Nutzerdaten

Skype ist eine der beliebtesten Apps für Android-Smartphones. Beim Testen einer neuen Version hat der Entwickler Justin Case jetzt eine gravierende Sicherheitslücke entdeckt. Über die Skype-App lassen sich ihmzufolge Namen, Telefonnummern und Chat-Logs abgreifen.

Case hatte eine Version von Skype Video getestet, die vor dem offiziellen Start der App ins Internet gelangt war. Beim Testen hatte der Entwickler einen Exploit, also ein Programm zum Aufspüren von Sicherheitslücken, geschrieben und ist so auf die Schwachstelle aufmerksam geworden.

Zunächst sei er ganz begeistert von der App gewesen, da sie absolut flüssig und zuverlässig lief, berichtet Justin Case. Doch kam er auch recht schnell auf den Boden der Tatsachen zurück, als er feststellte, dass Nutzerdaten nicht ausreichend gesichert sind. Daraufhin probierte er auch die aktuelle Skype-App aus, die es seit Oktober 2010 gibt – und musste zu seinem Schrecken die gleichen Probleme feststellen.

Kompletter Ordner unzureichend geschützt

Wie kann so etwas passieren? Im Datenordner von Skype gibt es einen Unterordner mit dem gleichen Namen wie der jeweilige Username bei Skype, in dem die Kontakte, das Profil, die Chat-Logs etc. in SQLite Datenbanken gespeichert werden. Diese Ordner hat man bei der Entwicklung mit unzulässigen Genehmigungen versehen, die es jeder Anwendung möglich machen, die darin enthaltenen Daten zu lesen. Sie sind nicht nur leicht zugänglich, sondern komplett unverschlüsselt. Und so kann man relativ leicht nicht nur auf alle im Profil gespeicherten Daten (das können unter Umständen Telefon-Nummer, Geburtstag, Adresse etc. sein) zugreifen, sondern auch auf die Daten der Kontakte.

Wie die Website Android Police – auf der auch der ursprüngliche Artikel von Justin Case erschienen ist – berichtet, arbeitet man bei Skype bereits an der Behebung dieses Fehlers.