Skype ficca il naso in /etc/passwd

La scoperta è stata fatta per caso da un utente di Ubuntu Gutsy che dopo aver creato un profilo con AppArmor per rendere sicura Skype ha rilevato qualche “stranezza”.

Non solo Skype legge il file /etc/passwd ma enumera tutte le cartelle di Firefox contenute in /home/*/.mozilla/firefox. Dall’azione di “controllo” messa in atto da Skype non sono esclusi anche altri file nella directory /etc/.

Lo stesso comportamento è rilevabile anche lanciando un strace contro l’eseguibile di Skype.

Per ora non ci sono spiegazioni ufficiali da parte del team di Skype per Linux, e sebbene non possa essere considerato “malevolo” il comportamento del software è quantomeno insolito.

[Via | /.]

PUBBLICITÀ

(2 Voti | Media: 3 su 5)

22 commenti

Articoli simili

La Cina blocca anche i bridge di Tor del 12 mar 2010

Firewall Builder 4.0 Beta del 10 mar 2010

OpenSSH 5.4 e la nuova modalità "netcat" del 09 mar 2010

BigBlueButton è una soluzione open source per le videoconferenze del 09 mar 2010

Limitare le connessioni SSH e tarpitting del 08 mar 2010

Argomenti Simili

AppArmor, linux, security, skype, ubuntu

Gallerie Correlate

• 
  UI Ubuntu Netbook Remix
• 
  Wallpaper per Ubuntu
• 
  OpenSTAManager
• 
  Ubuntu 8.10 beta

Commenti dei lettori

• mOLOk

  26 ago 2007 - 23:30 - #1

  0 punti

  

  non vedo nulla di male nel leggere /etc/passwd, e` settato leggibile da tutti per un motivo… (come un po’ tutti sanno le password non sono in /etc/passwd)
  per quanto riguarda le configurazioni di firefox… mah, qualcuno su /. parlava di plugin di skype per il browser.

• noct

  26 ago 2007 - 23:48 - #2

  0 punti

  

  mOLOK perchè diavolo dovrebbe leggersi il file /etc/passwd?
  non dovrebbe leggersi nessun file ma semplicemente stare lì senza fare nulla a parte skype!

• Ecas

  27 ago 2007 - 00:18 - #3

  0 punti

  

  Sicuramente il comportamento è un po strano, ma in questo caso mi trovo daccordo con mOLOk..non c’è nulla di male a leggere /etc/passwd visto che è leggibile da tutti.

• stc

  27 ago 2007 - 02:24 - #4

  0 punti

  

  io non mi fido. e ricordate che è closed source. chissà che altro va a fare….

  usate open source, è meglio per tutti noi!

  stc

• Cobra78

  27 ago 2007 - 07:26 - #5

  0 punti

  

  @ stc

  Non è sempre semplice: la mia ex ragazza ha su Skype per lavoro (agenzia di viaggi online), e deve usare quello, e così anche in altri ambiti lavorativi si usa, a quel punto diventa una catena anche perchè chi magari non usa tanto il pc si rifiuta di mettersi 2300 IM su solo perchè ” a uno piace Msn, l’altro vuole usare jabber etc etc”, e come dargli torto :P

• 

  ossmlcr

  27 ago 2007 - 07:41 - #6

  2 punti

  

  Inutile allarmismo: è un comportamento normale dei programmi Unix, peraltro probabilmente mediato da una serie di chiamate di libreria standard della GLibC (le varie getpwnam/getgrnam/…).
  In generale quando un software POSIX vuole sapere il nome dell’utente attivo ed i suoi gruppi, esegue queste chiamate di libreria che a loro volta sono implementate leggendo i file /etc/passwd ed /etc/groups.

• kYuZz

  27 ago 2007 - 09:50 - #7

  2 punti

  

  non c’è assolutamente nulla di strano nel fatto che Skype legga /etc/passwd. Se fate un strace a qualsiasi programma presente nella directory /bin troverete che molti di questi programmi legge /etc/passwd. Un esempio su tutti: il comando “ls -l”. Non per questo bisogna ritenere che ls sia uno spyware. Probabilmente Skype cerca di convertire un UID in username, oppure tenta di cercare la home directory dell’utente che lo sta eseguendo. Altro paio di maniche invece la scansione completa della directory delle estensioni di Firefox… su questa non so proprio che dire.

• Commento #8 (-4 punti) - 27 ago 2007 - 09:50 - Apri commento

• grick

  27 ago 2007 - 11:13 - #8 (nascondi)

  -4 punti

  

  Molto interessante vedere come la gente si affanna a cercare delle giustificazioni (per quanto leggittime).
  Ma adesso rispondete a questa domanda: se esiste una spiegazione banale al comportamento anomalo riscontrato, come mai il team di Skype non ha chiarito subito?

• 

  jimme

  27 ago 2007 - 11:44 - #9

  3 punti

  

  grick, il team di Skype non ha chiarito subito perche non c’è niente da chiarire: qualunque programma puo leggere /etc/passwd (in certi casi è indispensabile leggerlo), è fatto apposta per essere letto da altri programmi e non c’è niente di strano.

• Scorp

  27 ago 2007 - 12:02 - #10

  3 punti

  

  @grick: l’utente medio (quello che di computer non ne capisce niente) se ne fregherà, l’utente avanzato (e programmatore) si trova da solo la risposta, l’utente mediocre stà lì a chiedersi perchè skype sbircia in /etc/passwd.
  Quanti utenti mediocri ci sono che usano skype? :p

• Emanuele Gentili

  27 ago 2007 - 13:25 - #11

  2 punti

  

  omg! this news is a shit!
  Seems like people don’t understand unix at all, when they post to security lists…
  Just checking your own identity in unix requires a call to getpwnam, getpwent or their equivalent, which means that a function call in glibc has to read the password file. Practically every unix program does that… It reads in the whole file in memory and looks for you, unless you’re using the db source, yp, nis+ or an external module: nss_ldap, nss_mysql, nss_pgsql. It’s doing that to find YOU out… That’s normal, system-wide behaviour, and not sinister at all(that’s also why there’s a nscd daemon to cache those results, to prevent your machine from grinding to a halt if you have 200k+ entries in that file.

  Now unless the legacy api gets redesigned to NOT do a line by line scan, anyone using strace/ltrace/dtrace/tusc needs to filter out these internal “housekeeping” calls, which are perfectly normal, needing to find out if _you_ can open up your own log file…

  The /etc/passwd /etc/group files are public files precisely because they are referred to in this manner. That’s why shadow passwords are so necessary.

• grick

  27 ago 2007 - 14:20 - #12

  0 punti

  

  @all: di nuovo tutti bravi a fare “supposizioni” (che possono anche essere azzeccate, per carita’).

  Del resto il sig. Gentili ha ragione, tutte le volte che uso strace devo filtrare con grep -v gli accessi di tutti i programmi alla dir ~/.mozilla/. E’ una cosa che gli unix fanno dagli anni ‘70 no?
  La famosa primitiva grabuserwebbookmarks() e grabuserwebhistory()…

• 

  DierRe

  27 ago 2007 - 14:52 - #13

  3 punti

  

  grick ti si sta cercando di spiegare che non è un comportamento anomalo quindi non c’è nulla da spiegare.

• grick

  27 ago 2007 - 15:07 - #14

  0 punti

  

  @DierRe: la lettura e l’ironia non sono il tuo forte vero?

  Sono anch’io ragionevolmente convinto che sia ossmlcr sia Emanuele Gentili abbiano visto giusto per quanto riguarda la lettura del file passwd.
  Peccato che nessuno si sia preso la briga di spiegare ad un mediocre ignorante come me anche l’accesso di Skype alla dir ~/.mozilla/firefox.

• 

  ossmlcr

  27 ago 2007 - 16:34 - #15

  2 punti

  

  @ grick
  >La famosa primitiva grabuserwebbookmarks() e grabuserwebhistory()…
  >Peccato che nessuno si sia preso la briga di spiegare ad un mediocre ignorante come me anche l’accesso di Skype alla dir ~/.mozilla/firefox.
  Il punto è che non è necessario correre a gridare allo scandalo ed al complotto per operazioni di questo genere (e peraltro interne) dei software, quando probabilmente le spiegazioni sono banali.
  Considera questo:
  1) Skype non ha probabilmente interesse alla tua web history/bookmark, perchè non è nel suo business
  2) Skype non ha interesse a danneggiare il suo brand spiando gli utenti, perchè rischierebbe una fuga in massa di utenti se si scoprisse tale comportamento.
  3) Skype ha una barra/estensione per Firefox, per cui probabilmente il software controlla qualcosa in merito (ad esempio che sia aggiornata, oppure considera che l’estensione ti permette di fare le chiamate dal browser)

  Probabilmente i responsabili di Skype chiariranno la questione nei prossimi giorni, ma a mio avviso c’è poco da chiarire.

• solid

  27 ago 2007 - 20:44 - #16

  1 punto

  

  $ strace kopete
  .
  .
  munmap(0xb7f81000, 112772) = 0
  open(”/etc/passwd”, O_RDONLY) = 3
  fcntl64(3, F_GETFD) = 0
  .
  .

  XD

• Scorp

  28 ago 2007 - 08:34 - #17

  1 punto

  

  Ommioddio, ammazziamo anche Kopete, ci ruba le password!

  @Grick: ti sei mai chiesto come fa skype ad installare la sua estensione in firefox senza chiedere nulla?

  Come diceva un mio professore universitario “Se uno non sà, è meglio che stia zitto”.

• grick

  28 ago 2007 - 12:25 - #18

  -1 punto

  

  @Scorp: quanto ha ragione il tuo ex-professore. Ma tu stesso sei appunto contravvento alle sue indicazioni.

  Vorrei chiarirti un concetto riguardo questa storia: tu non “sai” nulla. Tu stai solamente “supponendo” che Skype installi la sua estensione e nient’altro. Hai modo di provarlo? No. E’ una supposizione, una spiegazione ragionevole (che io stesso condivido tra l’altro) con cui tu ti permetti di insultarmi.

  @All:
  Perche’ sia chiaro, io non sto insinuando niente riguardo a quello che Skype fa o meno, anzi credo che le vere motivazioni siano banali. Appoggio in pieno sia la spiegazione dell’accesso al file passwd che quella dell’estensione di Firefox, nondimeno mi piacerebbe che i responsabili del software dessere una loro risposta ufficiale.

  Sapete che differenza c’e’ tra l’accesso di Kopete a /etc/passwd e quello di Skype? Io posso provare che kopete non spedisce una lista dei miei utenti di sistema ad un server in Russia. Potete fare lo stesso per Skype? (Vi ricordo che i dati trasmessi da Skype sono criptati).

• 

  jimme

  28 ago 2007 - 14:05 - #19

  2 punti

  

  Guarda, secondo me non c’è bisogno di alcun chiarimento, perchè se dovessero giustificare il fatto di leggere /etc/passwd e ~/.mozilla allora dovrebbero allo stesso modo giustificare la lettura di qualsiasi altro file su sistema.
  A me non interessa per niente leggere un comunicato in cui dicono:
  “Il nostro software legge questi file:
  /etc/passwd per la lista degli utenti
  ~/.mozilla per il plugin
  ~/.skype per le impostazioni
  /etc/resolv.conf per trovare il gateway
  etc etc”
  Tralaltro, potrebbero benissimo raccontarti una balla, visto che possono dirti che leggono un file per un motivo e poi ci fanno tutt’altro, e tu comunque non puoi controllare.
  Imho è stato sollevato un polverone per nulla.

• 

  jimme

  28 ago 2007 - 14:07 - #20

  2 punti

  

  Senza contare i blog in cui questa notizia è stata intitolata “Skype legge le password degli utenti su Linux”… o_O

• Emanuele Gentili

  30 ago 2007 - 17:14 - #21

  0 punti

  

  vogliamo la testa di quei blogger.

• ramas

  10 ott 2007 - 09:05 - #22

  0 punti

  

  http://www.google.com/codesearch?q=%2Fetc%2Fpasswd&hl=it&btnG=Ricerca+Codici

  qui leggo “circa 44.500″ progetti accedono a /etc/passwd ….