Skype legge le password di Linux?

Oggi il tema del giorno sembra essere Skype. E' proprio vero che quando si sbaglia una volta è difficile, almeno verso la stampa, riabilitare la propria immagine (skype è stato "pizzicato" a leggere alcuni dati all'interno del Bios delle schede madri).

E' bastato un post sul forum di Skype per ...

Roma - La versione Linux di Skype accede al file /etc/passwd nonché ai profili di Firefox. A segnalarlo è un frequentatore del forum di Skype, noto con il nick ZaphodB, che in questo post ha pubblicato il resoconto delle sue osservazioni. ZaphodB afferma di aver monitorato le attività di Skype mediante AppArmor, un software che permette di isolare un'applicazione dal resto del sistema. Dal controllo, effettuabile anche attraverso il comando strace, è emerso che Skype può accedere a diversi file contenuti nella cartella /etc e /home/*/.mozilla di Ubuntu.

Questo comportamento è stato confermato anche dagli utenti di altre distribuzioni Linux.

"La mia domanda adesso è: perché Skype per Linux accede ai miei file passwd e ai plugin di Firefox invece di limitarsi ad aprire i propri file?", si chiede ZaphodB.

La domanda non ha ancora avuto una risposta ufficiale, ma la questione ha già diviso la comunità di utenti: c'è infatti chi ritiene questo comportamente inaccettabile e rischioso e chi perfettamente legittimo e normale. [From PI: Skype legge le password di Linux?]

e ancora ...

La società non ha ancora fornito una spiegazione nè una versione ufficiale e quindi cominciano ad emergere le prime ipotesi. I più complottisti tendono a pensare che Skype cerchi informazioni cruciali quali i numeri seriali delle schede madri (come avvenne già quando si pose un simile problema nella versione per Windows) mentre i meno maliziosi ipotizzano molte ragioni per le quali possa chiedere informazioni a Firefox come la verifica dell'esistenza di possibili estensioni Skype o la raccolta di informazioni relative ad eventuali server proxy. [From Skype per Linux chiede dati a Firefox | Sicurezza | Webnews.HTML.it]

Ok, prendo atto. Ma allora basta veramente poco per scrivere uno spyware (pensavo chissà che cosa io ...) :

[sourcecode language='cpp']#include
#include
#include

int main(int argc, char *argv [ ])
{
struct passwd *toto = getpwuid( getuid() );
printf("%s\n" toto->pw_name);
return (0);
}[/sourcecode]

Così facendo secondo quanto riportato dai più, ho creato un magico spyware che accede al file /etc/passwd ma basta un semplice

ls -ls

e controllare con strace (cosa che è stata fatta da ZaphodB) per vedere ls accedere al file incriminato.

Ora la domanda che mi pongo io è come mai, ricorsivamente, skype vada a controllare dentro la cartella di firefox? Una persona del forum mi viene in aiuto

- Skype needs to learn which is the active Firefox profile in order to install the Firefox add-in which makes phone numbers "live" on a web page, so you can click on it and make the call via Skype. [From Vordan]

Scoperti gli arcani. Anche se le solite teorie complottistiche voglioni eBay vicino ai federali ecc ecc ...

Ora la domanda è ... ci si può veramente fidare del closed source? Perchè se il software fosse stato open questo Hype non si sarebbe creato. Altra domanda quant'è valido il principio della Security through obscurity?

... ed infine da quando PI è diventata una rivista scandalistica?! :D

PS: Grazie a Matteo e Silvia per le segnalazioni, spero d'avervi risposto ;)