Leggere le conversazioni altrui su Skype, il programma non codifica i dati in locale

Non sono soltanto le app per i dispositivi mobili come WhatsApp a non proteggere in maniera efficace le conversazioni memorizzate in locale (Rubare le conversazioni WhatsApp è ancora possibile). Due ricercatori romeni, Cristian Dinu e Dragos Gaftoneanu, hanno recentemente riportato alla luce quella che appare come una “leggerezza” degli sviluppatori di Skype.

Il celeberrimo software VoIP, per la messaggistica istantanea e le videochiamate, oggi di proprietà di Microsoft, salva in locale tutte le conversazioni via a via effettuate senza però utilizzare alcun algoritmo crittografico.
La cronologia delle conversazioni, insieme con tutti i dati sensibili eventualmente scambiati, viene conservata – in ambiente Windows – nella cartella %appdata%Skypenome_utente. Su Mac OS X, la directory si chiama UsersuserLibraryApplication SupportSkypenome_utente mentre in Linux è /home/user/.Skype/nome_utente.
All’interno di tali cartelle, è il file main.db a contenere le informazioni sull’intera attività svolta dall’utente su Skype, compreso l’elenco delle chiamate.

Il contenuto del file main.db viene memorizzato in chiaro da parte di Skype quindi chiunque abbia accesso al sistema dell’utente può visualizzarne il contenuto ed estrarre dati personali. Si tratta infatti di un database conservato nel formato SQLite, comune a molti software.

La segnalazione del duo Dinu-Gaftoneanu non è propriamente una novità dal momento che già da tempo era noto il comportamento di Skype. Nir Sofer, ad esempio, distribuisce da anni un’applicazione gratuita che permette, con un clic, di ottenere la lista delle conversazioni effettuate su Skype accedendo appunto al contenuto del file SQLite main.db.

I ricercatori romeni hanno comunque voluto porre nuovamente i riflettori su di una tematica che oggi si conferma, forse, ancor più delicata che in passato. Un malintenzionato che abbia in qualche modo accesso al sistema (non necessariamente dovrebbe forzare l’account dell’utente; potrebbe semplicemente effettuare il boot da un supporto avviabile ed accedere al file system) è in grado di “rubare”, in pochi secondi, il file main.db così da mettere agevolmente le mani su una vasta mole di dati personali della vittima.
Allo stesso modo, applicazioni malevole che dovessero essere installate sul sistema da parte dell’utente, sono egualmente capaci di sottrarre informazioni sensibili e di girarle a terzi.

Gli esperti chiedono agli sviluppatori di Microsoft e di Skype l’implementazione di un sistema di protezione delle informazioni memorizzate in locale da parte del programma.