Skype per Linux legge le password

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/22311.html

La versione Linux del noto client Skype legge il contenuto di alcuni file presenti in /etc

Click sul link per visualizzare la notizia.

[ellepi]

Apperò... programma goloso!!!

Ma riguarda solo la versione riportata nella news o anche quelle precedenti?

Sennò lo disinstallo immediatamente tanto non lo uso

[rutto]

questo e' solo uno dei tanti motivi per i quali open source = meglio

nello specifico poi ho una particolare repulsione per skype, cos'ha in piu' dei protocolli voip STANDARD? hype, marketing, notorieta'

[vampirodolce1]

Effettivamente ho provato con systrace ed e' cosi', risulta un accesso fsread verso /etc/passwd e a tutti i files contenuti nel proprio profilo di mozilla firefox, plugins installati, ecc.
Non riesco ad accedere al link suggerito dalla redazione (il proxy mi blocca), ma vi posso dire che senza leggere /etc/passwd Skype non riesce ad effettuare il login, mentre tutto pare funzionare bene se si blocca l'accesso alla cartella di mozilla. E' anche vero che /etc/passwd viene letto da una miriade di programmi, quindi questo puo' anche essere necessario per controllare permessi di scrittura su disco, ecc. Resta inaccettabile il controllo sul profilo di Firefox.
Purtroppo non ho ancora avuto modo di fare dei test piu' approfonditi, certo che il fatto che le connessioni siano cifrate (provate con uno sniffer e non capirete niente), che il protocollo sia proprietario e non divulgato... non sono premesse molto positive.

[DevilsAdvocate]

FUD :
Le password non stanno più in /etc/pwd da secoli, e nemmeno
in /etc/passwd, si sono ormai mosse in /etc/shadow su tutte le distro più
note o recenti....

Tra parentesi se non vi fidate di me fate pure un:
#cat /etc/passwd

[Nockmaar]

Prima di scrivere qualsivoglia post, vi consiglio di leggervi sia il thread che i commenti su slashdot. Ci sono diverse spiegazioni plausibili di quel comportamento.

[manowar84]

sarebbe semplicemente il risultato del closed-source.

Cmq non creiamo allarmismi. C'è da dire che non c'è assolutamente nessuna password dentro /etc/passwd e che per firefox c'è una specie di barra, *potrebbe* controllare qualcosa in merito (se è aggiornata ecc).

Non fasciamoci la testa prima del previsto. Sia chiaro, non giustifico skype e non mi meraviglierei affatto skype si faccia i cavoli nostri! Usiamo software open-source!!

[Xalexalex]

Apt-get remove --purge skype

[vampirodolce1]

Quote:

Originariamente inviato da DevilsAdvocate

FUD :
Le password non stanno più in /etc/pwd da secoli, e nemmeno
in /etc/passwd, si sono ormai mosse in /etc/shadow su tutte le distro più
note o recenti....

Tra parentesi se non vi fidate di me fate pure un:
#cat /etc/passwd

Si' OK, la chiamata che ho notato e' stata fatta verso /etc/passwd, quindi verso i nomi utente [redazione, il file non e' '/etc/pwd'], mentre /etc/shadow non viene letto, cosa che comunque sarebbe impossibile a meno di lanciare Skype da root.

[sirus]

L'accesso al profilo di Mozilla Firefox è sicuramente voluto dai programmatori di Skype; per quanto riguarda l'accesso al file /etc/passwd c'è da dire che non esistono password in quel file ed oltretutto esistono anche delle funzioni di libreria (glibc, non una libreria a caso) che fanno accesso a quel file, e non solo a quello. Gli accessi di Skype potrebbero essere il risultato della chiamata a quelle funzioni.

[sleeping]

Non mi esprimo su questo fatto perché non mi ritengo abbastanza esperto, ma abbastanza per dire che la versione di Skype per Linux è scandalosamente vecchia vecchia vecchia ...
Usare SIP è la soluzione migliore, ma purtroppo per chiamare Skype c'è solo Skype. Già usare un software chiuso dà fastidio a molti utenti Linux, se poi dobbiamo anche usare un programma che su Linux è a 1.4 da millenni mentre su Win siamo alla 3.5 continuamente aggiornata ...
Bel software multipiattaforma

[Cisto]

l'accesso al profilo di firefox è vergognoso... mentre per /etc/passwd, come già detto da altri, non vedo quale sia il problema... il contenuto del file è Username:x:UserID:GroupID:Info:HomeDirectory:Shell ; le password sono sicure e criptate in /etc/shadow

[Baran]

Non ci vedo niente di strano.
Tantissimi binari accedono a /etc/passwd.. banalmente per estrarre il valore della home dell'utente. un qualunque binario che cerchi di accedere ad un file ~/ chiede al sistema operativo di accedere al file /etc/passwd per sapere quale e' la home.

[biffuz]

Skype sarà il nuovo RealPlayer?

[guerret]

Per la redazione: il file in questione non è /etc/pwd (non più, almeno), ma /etc/passwd. pwd è tutt'altra cosa su Linux.

In secondo luogo, /etc/passwd NON contiene le password, nonostante il nome. Contiene il noome utente, uid e gid, la home directory e la shell di avvio. Immagino che Skype legga tale file per conoscere la home directory e sapere così dove trovare il suo profilo (la directory .Skype).

Chiunque conosca Linux si rende conto che non c'è nulla di minaccioso in tutto questo. Quindi mi domando da chi abbiano preso i soldi questi grandi guru Linux che hanno riportato questo comportamento.

Dal canto mio uso Skype pur con un certo odio nei suoi confronti. Non vedo l'ora di vedere un plugin di pidgin (al momento in sviluppo) o altro FOSS per gestire Skype.

[Emyl]

Slashdot sta diventando uno schifo, non voglio dire altro.

[sleeping]

Quote:

Originariamente inviato da biffuz

Skype sarà il nuovo RealPlayer?

In che senso ?

[WarDuck]

Quote:

Originariamente inviato da manowar84

sarebbe semplicemente il risultato del closed-source.

Ma anche no, e chiaramente questa news ne è una prova.

[gabriweb]

Ma linux al contrario di windows non era il sistema operativo tanto osannato per la sicurezza offerta?

[ellepi]

Ma con Windows ti accorgi di quello che i programmi vanno a cercare?