20070827

Skype читает профиль Firefox, /etc/passwd и разные другие файлы из /etc

На слэшдоте появилась заметка, в которой сообщается, что Skype читает файл /etc/passwd, файлы профиля Firefox (включая настройки плагинов и аддонов), и ещё разные файлы в /etc. Заметили это при использовании AppArmour, запуски Skype с strace информацию подтвердили. Соответственно вот тема на форуме Skype. Замечены в этом версии 1.4.0.94 и 1.4.0.99.

Хотя в Debian и большинстве современных дистрибутивов пароли пользователей больше не хранятся в /etc/passwd (хранятся они в /etc/shadow), доступ Skype к такому количеству настроек системы и приватных данных вызывает беспокойство. Во всяком случае доступ к профилям Firefox мне кажется не меньшим злом. Что с этими данными делает Skype — неизвестно.

Вообще говоря, шпионского модуля в Skype исключать нельзя. В частности, народ отмечает что Skype идеальный вариант для внедрения шпионского модуля спецслужбами (АНБ):
- он установлен на большинстве машин
- он хорошо защищён от декомпиляции/дебага
- он умеет обходить фаерволы
- сетевой трафик Skype шифруется
- он может передавать большие объёмы данных даже если звонок не совершается
- eBay (владелец Skype) уже были замечены в сотрудничестве со спецслужбами

Похоже, запускать Skype желательно исключительно в «песочнице», откуда ему ничего не доступно. Или вообще пользоваться альтернативами с открытым исходным кодом. Когда, кстати, libjingle заработает?