Android Police ได้ค้นพบช่วงโหว่บน Skype ที่ทำให้ถูกล้วงข้อมูลบน Skype ไปอย่างง่ายๆ
หลักการ Hack ง่ายมากๆ เพราะ Skype เก็บข้อมูลต่างๆ ลงบน Database เช่น Contact, เบอร์โทรศัพท์, หรือแม้กระทั้งข้อมูลการ Chat โดย Database บน Android ก็คือ SQLite3 ซึ่งปรากฎว่า Skype ดันเก็บข้อมูลลง Database นี้ตรงๆ ไม่มีการเข้ารหัสใดๆทั้งสิ้นเลย ถ้าหากว่าเรามีการลง Application เพิ่มเติมที่ขอสิทธิ์เข้าถึง Database นี้ได้ ข้อมูลทั้งหมดที่เกี่ยวข้องกับ Skype ของเรา ไม่ว่าจะเป็นร้อยแปดพันกิ๊กที่ต่างประเทศ หรือสหายลับธุรกิจพันล้านก็จะเข้าไปถึงมือของเหล่า Hacker ทันที
ด้วยเหตุผลนี้ถ้าใครรู้ที่อยู่ของ Database นี้แน่นอนทุกคนก็สามารถเปิดออกมาอ่านได้ ใครที่อยากจะลองเปิดดูสามารถเปิดได้ง่ายๆบน FireFox โดยติดตั้ง Extension SQLite (ผมก็ใช้ Database นี้อยู่) ซึ่งไปอ่านรายละเอียดใน Android Police เค้าได้อธิบาย Concept อย่างละเอียด และได้นำ Concept นี้ทำเป็น App ออกมาด้วยเพื่อพิสูจน์ว่ามัน Hack ได้จริงตาม Video ด้านล่าง หรือ ใครอย่างจะลองก็ไป Load มาลองได้เลย
ต่อมาทาง Skype ได้รับทราบปัญหาเรียบร้อยแล้ว ได้ชี้แจงกลับมาว่า จะพยายามรีบแก้ไขช่องโหว่นี้ให้โดยเร็ว และเตือนผู้ใช้ Android ให้ระวังและพยายามอ่าน Permission ของ App ที่จะติดตั้งให้ดีจะได้ไม่ถูกล้วงข้อมูล ในระหว่างที่รอแก้ช่องโหว่ อ่านต้นฉบับคำชี้แจงตามนี้เลย http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html
ผมว่าตามที่ Skype ชี้แจงที่บอกว่าให้ระวังการติดตั้ง App อื่นๆ โดยให้อ่าน Permission เพื่อไม่ให้ถูก App อื่นๆมาล้วงข้อมูล ผมว่ามันไม่ใช่ทางแก้เลย ทางแก้ที่ดีคือ Skype ต้องมาอุดช่องโหว่นี้ให้เร็วที่สุด
ทำความเข้าใจกันก่อน ปัญหาเรื่อง Malware บน Android ที่เคยเกิดขึ้นก่อนหน้านี้ ไม่เกี่ยวข้องกันกับปัญหานี้ เพราะปัญหานี้เกิดมาจากความสะเพร่าของ Skype เองที่ไม่ยอมตั้ง Permission หรือเข้ารหัสข้อมูลบน Database ทำให้ใครๆก็เข้าถึงข้อมูลได้
ที่มา androidpolice ผ่าน engadget
Skype ต่อ Bluetooth ไม่ได้แล้ว ยัง ไม่ใส่ใจคนใช้อีกแย่ๆๆๆ
เอ๋…ของผมก็ต่อได้ตามปกตินะ -__-
สงสัยนิดหน่อย…ว่าจากภาพแรก(Skypwned บน Motorola)…ตรงส่วนไหนเหรอครับ ที่มันบ่งบอกว่า App นี้มันมีการ"ขอสิทธิ์เข้าถึง Database"
คือเราถามในมุมมอง "มือใหม่" นะ…..เพราะถ้าเป็นเรา…เราเห็นแค่มันถามถึงการเข้าถึง Storage กะ Phone calls….เราก็คงจะกด "Install"ไปอย่างไม่ลังเล……ก็มันไม่ได้ถามว่าจะเข้าถึง"Skype Database"นิ่…???
….หรือว่าจริงๆแล้ว….ความหมายมันสื่อถึง Skype Database…ง่ะ….งง
….หรือว่า….ภาพนี้ ไม่เกี่ยวกะเรื่องนี้…เอ๊ะ…ยังไง….55
**มือใหม่ อาจถามไรงงๆ….ไม่ว่ากันนะ**
ก็ไอรูปเครื่องหมายตกใจนั้นแหละครับ แต่ปัญหาที่ว่ากันตอนนี้ไม่ได้เป็นเพราะที่ท่านว่ามาครับไม่ได้เป็นจากการร้องขอการเข้าถึงของ app skype แต่เป็นดาต้าเบสของ skype เองต่างหากที่เป็น sql lite แล้ว permission มันเป็น 777 ใครก็เข้าถึงได้คือ skype สะเพร่าเองครับ เพราะถ้าไม่กำหนด permission ไว้ app อื่นๆก็จะสามารถเข้าใช้งานดาต้าเบสของ skype ได้ ปัญหาคือถ้าผมรู้ช่องโหว่งนี้แล้วผมเขียน app ตัวนึงไปปล่อยบน market แล้วสั่งให้มันอ่านข้อมูลดาต้าเบสของโปรแกรม skype ของเครื่องเป้าหมายแล้วส่งกลับมาให้ผมผมก็จะรู้ข้อมูลรายการโทรศัพท์และอะไรต่างๆของเป้าหมายได้ครับ อันนี้ต้องบอกว่าทางโปรแกรมเมอร์ของ skype ชุ่ยมากๆ
ทางแก้ง่ายสุด เลิกใช้ชั่วคราวจนกว่า Skype จะแก้ 😛
เลิกใช้ยังไม่พอเลยครับ ต้อง uninstall เลยตะหาก
skype เมื่อไหร่จะใช้ได้ละเนี่ยยยยยย ???
Facebook for Android ก็เก็บข้อมูลในกล่องข้อความเป็นแบบ plain text นะ :steve:
ใครมันจะมาแฮกข้อมูลจาก user ธรรมดาอย่างเราก็ให้มันเอาไปเหอะ ไม่มีอะไรอยู่แล้ว แต่ถ้ามันเอาเบอร์โทรใน contact เราไปทำอะไรมิดีนี่ก็น่าเป็นห่วง สรุป หยุดใช้ช่วงนี้ดีที่สุด