Skypen para Android vaza informações de usuários

Uma falha no Skype para Android pode permitir que criminosos coletem dados privados de usuários de smartphones, incluindo nome e endereço de email, contatos e histórico de conversas, conforme o próprio Skype confirmou nesta sexta-feira (15).

Na semana passada, Justin Case, colaborador regular do blog Android Police, revelou que o Skype para Android não bloqueia o acesso a uma série de dados sensíveis armazenados no aparelho. Esses arquivos contêm informações relativas a conta do usuário no Skype, além de dados pessoais que vão desde o nome completo e data de nascimento até números alternativos de telefone e saldo da conta. Também ficam acessíveis, disse Case, os históricos de mensageiros instantâneos e todos os contatos do Skype.

"O Skype equivocadamente manteve esses arquivos com permissões inapropriadas, permitindo que qualquer pessoa ou aplicativo possa lê-los", disse Case. "Não só estão acessíveis, como também não são criptografados." Case criou um aplicativo para Android capaz de coletar dados desprotegidos, e advertiu que hackers poderiam fazer o mesmo. "Um programador desonesto poderia modificar uma aplicação existente com o código da nossa prova de conceito, distribuir esse aplicativo no Android Market e assistir a todos esses dados sendo vazados”, disse Case.

As preocupações de Case tem fundamento. No mês passado, o Google identificou mais de 50 aplicativos infectados com malware no Android Market.

Na sexta-feira, o Skype reconheceu o que chamou de "vulnerabilidade” de seu cliente para Android. Embora tenha prometido resolver o problema, não especificou nenhum cronograma. "Estamos trabalhando rapidamente para protegê-los contra esta vulnerabilidade, incluindo proteger as permissões de usuário no Skype para Android”, disse Adrian Asher, diretor de informação do escritório de segurança do Skype, em um post no blog da empresa. Asher pediu para que os usuários “tomem cuidado ao selecionar quais aplicativos baixar e instalar” em seus smartphones.

Até a noite deste domingo (17), o Skype para o Android ainda não havia sido atualizado.

Chet Wisniewski, pesquisador de segurança da Sophos, desmentiu o conselho da companhia. "Como aplicar esse conselho é difícil de saber, já que um aplicativo querendo roubar suas informações no Skype não pediria permissão para fazê-lo”, disse Wisniewski em seu blog. Ao invés disso, Wisniewski disse que o mais seguro para os usuários de smartphones Android é desinstalar o Skype.

Wisniewski argumentou que a falha no aplicativo não é realmente uma vulnerabilidade. "Isso pode ser classificado como codificação desleixada, na melhor das hipóteses, ou completo desrespeito a privacidade do usuário, na pior", disse. "Mas nos faz pensar sobre o Skype para iOS. Será o mais seguro na App Store da Apple?”