Skype en linux lee algunos archivos privados y tu perfil de firefox

Una de las cosas nuevas que me encontré al actualizar a Ubuntu Gusty para poder utilizar mi tarjeta gráfica (intel gm965 – x3100) sin problemas fue la inclusión de una nueva característica en el Kernel: AppArmor. Ya que en mi instalación sucia desde Feisty daba error al cargar esa función. De todas formas yo no sabía para qué podía servir esa función, pero parece ser que ayuda a mantener nuestro ordenador más seguro vigilando qué aplicaciones acceden a qué ficheros.

Y ahora al grano: leo en Slashdot que gracias a esta AppArmor se ha descubierto que la versión para linux de Skype accede (y nadie entiende porqué) a tus contraseñas en «/etc/passwd», a tus perfiles de firefox, y a un buen número de archivos dentro de «/etc». Cuando menos esto es bastante sorprendente, ¿para qué necesita Skype tus contraseñas o acceder a tu perfil de firefox? ¿Está Skype recopilando información al estilo del spyware más odiado?

La semana pasada se habló mucho de la caída de Skype (Antonio lo resumió bien) y yo no hablé de ello porque no tenía nada que añadir a lo que ya comentaba todo el mundo. Sin embargo algo me dice que esta pifia ocupará menos titulares, siendo más grave si cabe que estar fuera de servicio dos días. Un problema técnico lo puede tener cualquiera, que el software que diseñas lea intencionadamente archivos privados de la persona que lo utiliza no tiene precio (aunque si tiene nombre, «… hay que decirlo más») y no es algo que suceda sin conocimiento de los desarrolladores. Cuando el software lee un archivo, hace exactamente lo que le dices que haga y hace falta escribir intencionadamente esa orden. Sin duda es mucho más grave que un error técnico, aunque esos también sean culpa de ellos y tengan que evitarlos.

Skype es un software controvertido que siempre ha suscitado sospechas, como cuando en febrero de 2007 se descubrió que leía la bios del sistema y enviaba a través de internet una cadena de 64 bytes al iniciar el PC, al más puro estilo de software espía. En octubre de 2005 ya fue prohibido en los centros de investigación de Francia, por idénticos temores de espionaje. El software espía es intrusivo y nunca está justificado, pero es el colmo el uso de estas estrategias en software como Skype, que tiene servicios de pago, que se supone es distribuido y que usa tu propio ancho de banda.

Hace 2 años y pico había algunos motivos para usar Skype (fueron los primeros en hacer de la VoIP algo útil y no había competencia de calidad). Ahora mismo Skype no aporta nada ante otros servicios como Google Talk, MSN Messenger o Yahoo! Messenger y aporta aún menos ante proyectos libres como GIZMO. Y para colmo cuando son víctimas de sus propios problemas le echan el muerto al primero que se encuentran en la calle. No hay razones para seguir usando Skype.

En fin, nada nuevo bajo el sol. Los que usen Skype ya deberían saber que es software cerrado y que siempre ha levantado sospechas. Si lo siguen usando, allá ellos. Su seguridad, sus datos, su decisión. El problema es que poca gente (ni siquiera lo he podido usar nunca) conozco que use Gizmo para llamar, en un mercado dominado claramente por Skype y Yahoo! llamadas (que tiene la fuerza de estar integrado en su mensajería instantánea pero que tampoco está libre de problemas) y, en otra línea, Jajah. Y por el camino, entre tanto software cerrado, se queda la libertad de comunicar como quieras con quien quieras acogiéndote a estándares. Precisamente lo que propone Gizmo. Los estándares permiten el desarrollo de software que los adopten y que, si el software es libre, te garanticen que el software que instalas no te va a espiar.

Actualización: Me tiran de las orejas en los comentarios con eso de las contraseñas. Parece ser que ese archivo es menos chungo de lo que parece, aunque sigo sin explicarme para qué necesita acceder a esa información.

Jose Alcántara
Resolviendo problemas mediante ciencia, software y tecnología. Hice un doctorado especializado en desarrollo de hardware para análisis químico. Especialista en desarrollo agile de software. Más sobre Jose Alcántara.

5 comentarios

  1. Hola, soy lector habitual de este blog, pero nunca he comentado por aquí, sin embargo hoy tengo que corregir un error del post. Hoy día, en la mayoría de las distros linux (por no decir todas) las contraseñas _cifradas_ no se encuentran en el fichero /etc/passwd, sino en el /etc/shadow, que solo puede leer root. También hay que decir que no deja de ser sospechoso, pues en el passwd se encuentran datos sobre los usuarios, su directorio home, su shell, y cosas mas personales como su nombre, email, etc en caso de que lo haya incluido el administrador del sistema.

    Saludos ;-)

  2. Estas equivocado en lo de que mira tus contraseñas, /etc/passwd está en texto plano, y no son las contraseñas, se usa para saber el UID de tu usuario, un montón de programas tienen que saberlo, por lo que no es nada raro, las contraseñas están en /etc/shadow.
    Lo que es preocupante es que te mire el perfil de firefox.

Los comentarios están cerrados.

Este blog usa cookies para su funcionamiento.    Más información
Privacidad