Skype per Linux legge le password

Skype per Linux legge le password

La versione Linux del noto client Skype legge il contenuto di alcuni file presenti in /etc

di pubblicata il , alle 17:34 nel canale Sicurezza
Skype
 

La versione di Skype dedicata al sistema operativo Linux è accusata da più parti di essere troppo curiosa: stando a quanto riportato da Slashdot e documentato da vari utenti Skype leggerebbe alcuni file importanti contenuti in /etc.

Sono stati registrati accessi di Skype in /etc/pwd e anche i file relativi al profilo di Firefox e ai relativi plug in ,pare, ricevono attenzioni particolari. A questo indirizzo viene ampiamente documentato come ci si sia accorti di questo comportamento di Skype e come si sia tentato di porre rimedio.

Al momento non è assolutamente noto il motivo per cui il software acceda a tali dati e, soprattutto, se tali informazioni vengano utilizzate all'insaputa dell'utente. L'argomento merita però di essere approfondito e probabilmente nei prossimi giorni vi sarà qualche annuncio ufficiale in merito.

La notizia odierna riporta l'attenzione nei confronti della sicurezza e dell'utilizzo di software e protocolli proprietari: quanto riportato da Slashdot.com confermerebbe le molte critiche rivolte a Skype in un utilizzo di massa e, soprattutto, su sistemi che contengono informazioni importanti e riservate.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

69 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ellepi27 Agosto 2007, 17:46 #1
Apperò... programma goloso!!!

Ma riguarda solo la versione riportata nella news o anche quelle precedenti?

Sennò lo disinstallo immediatamente tanto non lo uso
rutto27 Agosto 2007, 17:47 #2

commento di parte

questo e' solo uno dei tanti motivi per i quali open source = meglio

nello specifico poi ho una particolare repulsione per skype, cos'ha in piu' dei protocolli voip STANDARD? hype, marketing, notorieta'
vampirodolce127 Agosto 2007, 17:47 #3
Effettivamente ho provato con systrace ed e' cosi', risulta un accesso fsread verso /etc/passwd e a tutti i files contenuti nel proprio profilo di mozilla firefox, plugins installati, ecc.
Non riesco ad accedere al link suggerito dalla redazione (il proxy mi blocca), ma vi posso dire che senza leggere /etc/passwd Skype non riesce ad effettuare il login, mentre tutto pare funzionare bene se si blocca l'accesso alla cartella di mozilla. E' anche vero che /etc/passwd viene letto da una miriade di programmi, quindi questo puo' anche essere necessario per controllare permessi di scrittura su disco, ecc. Resta inaccettabile il controllo sul profilo di Firefox.
Purtroppo non ho ancora avuto modo di fare dei test piu' approfonditi, certo che il fatto che le connessioni siano cifrate (provate con uno sniffer e non capirete niente), che il protocollo sia proprietario e non divulgato... non sono premesse molto positive.
DevilsAdvocate27 Agosto 2007, 17:49 #4
FUD :
Le password non stanno più in /etc/pwd da secoli, e nemmeno
in /etc/passwd, si sono ormai mosse in /etc/shadow su tutte le distro più
note o recenti....

Tra parentesi se non vi fidate di me fate pure un:
#cat /etc/passwd
Nockmaar27 Agosto 2007, 17:49 #5
Prima di scrivere qualsivoglia post, vi consiglio di leggervi sia il thread che i commenti su slashdot. Ci sono diverse spiegazioni plausibili di quel comportamento.

manowar8427 Agosto 2007, 17:50 #6
sarebbe semplicemente il risultato del closed-source.

Cmq non creiamo allarmismi. C'è da dire che non c'è assolutamente nessuna password dentro /etc/passwd e che per firefox c'è una specie di barra, *potrebbe* controllare qualcosa in merito (se è aggiornata ecc).

Non fasciamoci la testa prima del previsto. Sia chiaro, non giustifico skype e non mi meraviglierei affatto skype si faccia i cavoli nostri! Usiamo software open-source!!
Xalexalex27 Agosto 2007, 17:54 #7
Apt-get remove --purge skype
vampirodolce127 Agosto 2007, 17:56 #8
Originariamente inviato da: DevilsAdvocate
FUD :
Le password non stanno più in /etc/pwd da secoli, e nemmeno
in /etc/passwd, si sono ormai mosse in /etc/shadow su tutte le distro più
note o recenti....

Tra parentesi se non vi fidate di me fate pure un:
#cat /etc/passwd

Si' OK, la chiamata che ho notato e' stata fatta verso /etc/passwd, quindi verso i nomi utente [redazione, il file non e' '/etc/pwd'], mentre /etc/shadow non viene letto, cosa che comunque sarebbe impossibile a meno di lanciare Skype da root.
sirus27 Agosto 2007, 17:57 #9
L'accesso al profilo di Mozilla Firefox è sicuramente voluto dai programmatori di Skype; per quanto riguarda l'accesso al file /etc/passwd c'è da dire che non esistono password in quel file ed oltretutto esistono anche delle funzioni di libreria (glibc, non una libreria a caso) che fanno accesso a quel file, e non solo a quello. Gli accessi di Skype potrebbero essere il risultato della chiamata a quelle funzioni.
sleeping27 Agosto 2007, 17:57 #10
Non mi esprimo su questo fatto perché non mi ritengo abbastanza esperto, ma abbastanza per dire che la versione di Skype per Linux è scandalosamente vecchia vecchia vecchia ...
Usare SIP è la soluzione migliore, ma purtroppo per chiamare Skype c'è solo Skype. Già usare un software chiuso dà fastidio a molti utenti Linux, se poi dobbiamo anche usare un programma che su Linux è a 1.4 da millenni mentre su Win siamo alla 3.5 continuamente aggiornata ...
Bel software multipiattaforma

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^