Сервисы должны всегда шифровать информацию пользователей, независимо от того, хранится ли она на серверах компании или локально. Тем не менее, некоторые популярные сервисы не делают этого. Так, румынские программисты из Hackyard Security Group Кристиан Дину (Cristian Dinu) и Драгош Гафтоняну (Dragos Gaftoneanu) сообщили, что в локальных базах данных Skype оставляет пользовательские данные незашифрованными.
Все голосовые и видеозвонки, а также передаваемые файлы в Skype шифруются. Предполагается, что локальные базы данных сервиса также должны шифроваться, чтобы защитить чувствительную информацию пользователей. Однако эксперты обнаружили, что такие данные, как полное имя, дата рождения, номера телефонов, страна и город проживания и даже текстовые сообщения хранятся на системных жестких дисках в известном месте без какого-либо шифрования или пароля.
Гафтоняну утверждает, что личная информация пользователей Skype хранится таким образом, что кто-либо, получивший доступ к устройству, может похитить ее и использовать по своему усмотрению. Так, общаясь в Skype со своим коллегой Кристианом Дину, он заметил в домашней директории Linux папку, содержащую файл базы данных main.db, созданный программным обеспечением Skype.
Используя утилиту SQLite Гафтоняну подсоединился к незашифрованной базе данных и обнаружил таблицы, которые содержат информацию, связанную с учетной записью пользователя Skype в незашифрованном виде. Эксперт отметил, что эти данные запрятаны глубоко в файловой системе, однако каждый, кто знает, где искать, может с легкостью их похитить. В связи с этим он советует пользователям Skype удалять содержимое папки main.db при каждом закрытии приложения, а также хранит свои данные в зашифрованных контейнерах.
Источник: SecurityLab
|