Grave fallo de seguridad en Skype para Windows / IOS / Android en lo más simple

Publicado el 03 junio 2015 por Gaspar Fernández Moreno @gaspar_fm


Veo en varios medios, como este, ( Venturebeat), la existencia de un grave fallo de seguridad en Skype.
El caso es que cuando a alguien con Windows, IOS o Android (los dos últimos no los he probado) recibe este mensaje: "http://:" podemos ver cómo la aplicación se cuelga. En ese momento deja de responder y nos obliga a cerrarla.

Lo más grave es que cuando la reinicias, vuelve a pasar y pasará hasta que se reinstale (o se borre el historial). Y, en ocasiones, aunque la persona que manda el mensaje lo borre inmediatamente, el problema seguirá existiendo. Tal vez no falle inmediatamente tras abrir skype, pero se cerrará pasados unos minutos (¿Skype no modifica los mensajes en su historial?)

Hasta aquí la cosa va bien, aunque las actualizaciones para Android ya se empiezan a ver, todavía podemos ponernos a jugar con los otros sistemas y ver cómo la gente no para de caerse una y otra vez.

Pero más allá de lo poco ético que es aprovecharse de este tipo de vulnerabilidades (que no todo el mundo respeta eso dela ética), se abren varios debates sobre la seguridad informática y la eterna guerra entre software libre y software privativo y es que:

  • Por un lado, el fallo se produce en una tarea sencilla, lo que aparentemente se hace con las URLs es ponerlas en otro color, subrayarlas y permitir hacer click en ellas. Por lo tanto, ¿ qué fallo puede haber en ello ? Y por qué no fallan otras combinaciones más largas o más cortas?
  • ¿Skype hace algo más con las URLs? Hay quienes han detectado que Microsoft entra en las URLs desde sus servidores... y todos queremos pensar que lo hace para verificar la seguridad de los enlaces, o al menos que únicamente sea eso, pero los clientes tienen que estar haciendo algo más.

Con respecto al primer punto, la tarea es sencilla, sabemos que coordinar un equipo no es fácil y en el mundo del software lo más normal es que surjan problemas casi siempre, sobre todo cuando hay tiempos de entrega estrictos (en Microsoft tendrán también, digo yo); bueno, también sabemos que comprobar errores, o comprobar el estado de unas variables... ¡ da pereza ! A los desarrolladores nos da una pereza extrema comprobar que todo va bien porque pensamos que algunas veces son casos hipotéticos, y cosas que nunca van a pasar y es que... ¿ a quién se le va a ocurrir poner en una URL sólo dos puntos (:) ?

Con respecto al segundo punto, es software privativo, no sabemos nada más acerca del error, aunque se podría averiguar algo más, es costoso. No tenemos el código fuente y aunque sabemos que en el mundo del software libre, los desarrolladores hacen guarradas, nadie nos garantiza que los desarrolladores de software privativo no las hagan, ni siquiera que hagan sólo lo que dicen que hacen. Y, ¿qué daño pueden hacerme con un enlace que me manden? Ya tenemos uno, colgarnos Skype, otros (no comprobados, pero posibles) podrían ser accesos a ese servidor revelando cuándo recibimos el mensaje, enviar a los servidores de Microsoft esa información, y seguro que a alguien más se le ocurren cosas malas que podrían hacer con esos datos.

Lo que me parece extraño es que en este punto nadie haya creado un bot (como muchos otros que hay por la red) enviando esa cadena de caracteres a todos los skype que vea con el fin de crear una caída masiva del servicio (y hay mucha gente que acepta mensajes de desconocidos). Por eso es conveniente que, al menos estos días si utilizas alguna de las versiones de Skype para esos sistemas operativos no aceptes mensajes de extraños ni solicitudes de amistad de desconocidos (por si las moscas). Siempre esperemos que nuestros amigos en la plataforma se porten bien.