News

พบช่องโหว่ Skype บน Android ที่จะทำให้ถูกล้วงข้อมูลส่วนตัวได้

Android Police ได้ค้นพบช่วงโหว่บน Skype ที่ทำให้ถูกล้วงข้อมูลบน Skype ไปอย่างง่ายๆ

หลักการ Hack ง่ายมากๆ เพราะ Skype เก็บข้อมูลต่างๆ ลงบน Database เช่น Contact, เบอร์โทรศัพท์, หรือแม้กระทั้งข้อมูลการ Chat โดย Database บน Android ก็คือ SQLite3 ซึ่งปรากฎว่า Skype ดันเก็บข้อมูลลง Database นี้ตรงๆ ไม่มีการเข้ารหัสใดๆทั้งสิ้นเลย ถ้าหากว่าเรามีการลง Application เพิ่มเติมที่ขอสิทธิ์เข้าถึง Database นี้ได้ ข้อมูลทั้งหมดที่เกี่ยวข้องกับ Skype ของเรา ไม่ว่าจะเป็นร้อยแปดพันกิ๊กที่ต่างประเทศ หรือสหายลับธุรกิจพันล้านก็จะเข้าไปถึงมือของเหล่า Hacker ทันที

Android Police ได้ค้นพบช่วงโหว่บน Skype ที่ทำให้ถูกล้วงข้อมูลบน Skype ไปอย่างง่ายๆ

หลักการ Hack ง่ายมากๆ เพราะ Skype เก็บข้อมูลต่างๆ ลงบน Database เช่น Contact, เบอร์โทรศัพท์, หรือแม้กระทั้งข้อมูลการ Chat โดย Database บน Android ก็คือ SQLite3 ซึ่งปรากฎว่า Skype ดันเก็บข้อมูลลง Database นี้ตรงๆ ไม่มีการเข้ารหัสใดๆทั้งสิ้นเลย ถ้าหากว่าเรามีการลง Application เพิ่มเติมที่ขอสิทธิ์เข้าถึง Database นี้ได้ ข้อมูลทั้งหมดที่เกี่ยวข้องกับ Skype ของเรา ไม่ว่าจะเป็นร้อยแปดพันกิ๊กที่ต่างประเทศ หรือสหายลับธุรกิจพันล้านก็จะเข้าไปถึงมือของเหล่า Hacker ทันที

ด้วยเหตุผลนี้ถ้าใครรู้ที่อยู่ของ Database นี้แน่นอนทุกคนก็สามารถเปิดออกมาอ่านได้ ใครที่อยากจะลองเปิดดูสามารถเปิดได้ง่ายๆบน FireFox โดยติดตั้ง Extension SQLite (ผมก็ใช้ Database นี้อยู่) ซึ่งไปอ่านรายละเอียดใน Android Police เค้าได้อธิบาย Concept อย่างละเอียด และได้นำ Concept นี้ทำเป็น App ออกมาด้วยเพื่อพิสูจน์ว่ามัน Hack ได้จริงตาม Video ด้านล่าง หรือ ใครอย่างจะลองก็ไป Load มาลองได้เลย

ต่อมาทาง Skype ได้รับทราบปัญหาเรียบร้อยแล้ว ได้ชี้แจงกลับมาว่า จะพยายามรีบแก้ไขช่องโหว่นี้ให้โดยเร็ว และเตือนผู้ใช้ Android ให้ระวังและพยายามอ่าน Permission ของ App ที่จะติดตั้งให้ดีจะได้ไม่ถูกล้วงข้อมูล ในระหว่างที่รอแก้ช่องโหว่ อ่านต้นฉบับคำชี้แจงตามนี้เลย http://blogs.skype.com/security/2011/04/privacy_vulnerability_in_skype.html

ผมว่าตามที่ Skype ชี้แจงที่บอกว่าให้ระวังการติดตั้ง App อื่นๆ โดยให้อ่าน Permission เพื่อไม่ให้ถูก App อื่นๆมาล้วงข้อมูล ผมว่ามันไม่ใช่ทางแก้เลย ทางแก้ที่ดีคือ Skype ต้องมาอุดช่องโหว่นี้ให้เร็วที่สุด

ทำความเข้าใจกันก่อน ปัญหาเรื่อง Malware บน Android ที่เคยเกิดขึ้นก่อนหน้านี้ ไม่เกี่ยวข้องกันกับปัญหานี้ เพราะปัญหานี้เกิดมาจากความสะเพร่าของ Skype เองที่ไม่ยอมตั้ง Permission หรือเข้ารหัสข้อมูลบน Database ทำให้ใครๆก็เข้าถึงข้อมูลได้

ที่มา androidpolice ผ่าน engadget

9 Comments

  1. Petez

    Petez Post on April 17, 2011 at 4:25 pm

    #130419

    Skype ต่อ Bluetooth ไม่ได้แล้ว ยัง ไม่ใส่ใจคนใช้อีกแย่ๆๆๆ

    • Ponlawat

      Gimme Post on April 18, 2011 at 11:34 am

      #131286

      เอ๋…ของผมก็ต่อได้ตามปกตินะ -__-

  2. metty@hotmail.com Post on April 18, 2011 at 2:44 pm

    #131304

    สงสัยนิดหน่อย…ว่าจากภาพแรก(Skypwned บน Motorola)…ตรงส่วนไหนเหรอครับ ที่มันบ่งบอกว่า App นี้มันมีการ"ขอสิทธิ์เข้าถึง Database"

    คือเราถามในมุมมอง "มือใหม่" นะ…..เพราะถ้าเป็นเรา…เราเห็นแค่มันถามถึงการเข้าถึง Storage กะ Phone calls….เราก็คงจะกด "Install"ไปอย่างไม่ลังเล……ก็มันไม่ได้ถามว่าจะเข้าถึง"Skype Database"นิ่…???
    ….หรือว่าจริงๆแล้ว….ความหมายมันสื่อถึง Skype Database…ง่ะ….งง
    ….หรือว่า….ภาพนี้ ไม่เกี่ยวกะเรื่องนี้…เอ๊ะ…ยังไง….55
    **มือใหม่ อาจถามไรงงๆ….ไม่ว่ากันนะ**

    • tanit9999

      tanit9999 Post on April 18, 2011 at 5:47 pm

      #131414

      ก็ไอรูปเครื่องหมายตกใจนั้นแหละครับ แต่ปัญหาที่ว่ากันตอนนี้ไม่ได้เป็นเพราะที่ท่านว่ามาครับไม่ได้เป็นจากการร้องขอการเข้าถึงของ app skype แต่เป็นดาต้าเบสของ skype เองต่างหากที่เป็น sql lite แล้ว permission มันเป็น 777 ใครก็เข้าถึงได้คือ skype สะเพร่าเองครับ เพราะถ้าไม่กำหนด permission ไว้ app อื่นๆก็จะสามารถเข้าใช้งานดาต้าเบสของ skype ได้ ปัญหาคือถ้าผมรู้ช่องโหว่งนี้แล้วผมเขียน app ตัวนึงไปปล่อยบน market แล้วสั่งให้มันอ่านข้อมูลดาต้าเบสของโปรแกรม skype ของเครื่องเป้าหมายแล้วส่งกลับมาให้ผมผมก็จะรู้ข้อมูลรายการโทรศัพท์และอะไรต่างๆของเป้าหมายได้ครับ อันนี้ต้องบอกว่าทางโปรแกรมเมอร์ของ skype ชุ่ยมากๆ

  3. winggundamth Post on April 18, 2011 at 10:52 pm

    #131670

    ทางแก้ง่ายสุด เลิกใช้ชั่วคราวจนกว่า Skype จะแก้ 😛

    • tekkasit Post on April 19, 2011 at 5:58 am

      #132059

      เลิกใช้ยังไม่พอเลยครับ ต้อง uninstall เลยตะหาก

  4. Khunanon

    Khunanon Post on April 19, 2011 at 2:25 am

    #131843

    skype เมื่อไหร่จะใช้ได้ละเนี่ยยยยยย ???

  5. bangdew

    bangdew Post on April 19, 2011 at 7:44 am

    #132163

    Facebook for Android ก็เก็บข้อมูลในกล่องข้อความเป็นแบบ plain text นะ :steve:

  6. prachaksil Post on April 19, 2011 at 5:48 pm

    #132307

    ใครมันจะมาแฮกข้อมูลจาก user ธรรมดาอย่างเราก็ให้มันเอาไปเหอะ ไม่มีอะไรอยู่แล้ว แต่ถ้ามันเอาเบอร์โทรใน contact เราไปทำอะไรมิดีนี่ก็น่าเป็นห่วง สรุป หยุดใช้ช่วงนี้ดีที่สุด

Leave a Reply

To Top