Поделись своими паролями со Skype-ом

Я всегда почему-то не любил Skype. Даже не от того, что траффика много ест, что нерусский и т.д. Просто почему-то отвращение какое-то к нему было, вот и все.

Впервые я понял, почему Skype может мне не нравится, когда компания опустилась до того, что стала вымогать у владельца skype.tv его домен. В письме говорилось, что данный домен должен пренадлежать только компании и никому больше, поэтому если данные от него не будут переданы в Skype, владелец будет сильно опозорен, про него в мировой прессе будут писать как о гнусном киберсквоттере, который наживается на покупке “чужих” доменов и т.д. В конце концов компания пригрозила, что подаст на владельца домена в суд.

Такое позорное поведение компании не может не вызвать удивления. По сути, Skype просто вымогала домен у его владельца. И, согласитесь, без обоснованных причин. Ну да, в содержании домена содержится ключевая фраза “skype”. Но разве это дает право требовать домен в свое распоряжение?

Естественно, домен владелец компании не отдал. Skype сильно опозорилась тогда (хотя это и не так давно было - около двух месяцев назад) и что-то подсказывает мне, что она просто обязана была опозорится и до этого.

Но вернемся к теме. Чем же компания опозорилась теперь? И является ли это только позором или чем-то бо’льшим? Несколько дней назад на slashdot.org появилась информация о том, что Skype с удовольствием ворует пароли пользователей и читает профайлы FireFox-а.

“Users of Skype for Linux have just found out that it reads the files /etc/passwd, firefox profile, plugins, addons, etc, and many other unnecessary files in /etc. This fact was originally discovered by using AppArmor, but others have confirmed this fact using strace on versions 1.4.0.94 and 1.4.0.99. What is going on? This probably shows how important it is to use AppArmor in any closed-source application in Linux to restrict any undue access to your files.”

Сразу же после этого на официальном форуме Скайпа появилась и тема об этом. Люди разместили довольно-таки много информации по этому поводу, как можно лучше исследовав проблему. Количество и качество результатов просто поражает.

Уверен, стоит так же заметить, что разработчики Skype появились на форуме не скоро. С момента публикации первого поста прошло почти четверо суток, прежде чем появились первые разъяснения. По всей видимости, компании Skype потребовалось немало времени на то, чтобы придумать отмазки.

И вот что было сказано в ответ:

It has come to our attention that some users are unhappy about the files Skype for Linux reads during its normal operation.

The files in question are accessed using a standard method, common to Linux, to discover the username of the person running Skype in order to figure out where to save the Skype internal data files. We don’t read any locally stored system passwords.

We are not nosy. There is no good reason why we would ever wish to snoop into our user’s computers. At no time is information stored on your computer sent to Skype or anyone else without your consent.

For those that are technically savvy, you can see in src/corelib/io/qfsfileengine_unix.cpp of Trolltech’s QT’s source code the function getpwuid() which is used to convert a user’s ID into a name that can be displayed to the user.

Т.е. фактически получается, что все пароли читаются только для того, чтобы выудить из всех данных имя пользователя хозяина компьютера. Этому привели даже детское объяснение, что им и нужен-то был всего навсего один файл.

Но вот ведь незадача. Анализ работы программы Skype показал, что та с удовольствием сканирует всю папку паролей полностью. Я даже не стал приводить сюда все подпапки, которые сканируются программой, потому что список их оргомен. Однако любой желающий может посмотреть их на форуме.

И второе. Если бы все и впрямь было так просто, неужели после официального объяснения всему этому люди не успокоились бы? И я имею в виду в первую очередь программистов-пользователей программы, которые хорошо делали свое дело, анализируя программу и добиваясь истины.

Да ну и вернуться хотя бы к тому же вопросу “зачем прошаривать все пароли, если нужен только ник, и зачем к тому же лазить по настройкам браузера, если это тут вообще не причем?”. Что же на это ответили представители компании? Почитать об этом можно на том же форуме, я же в кратце приведу их общий ответ.

Итак, на счет паролей ответили просто. Все программисты, которые задают на этот счет вопросы - просто тупые и говорить с такими так же тупо. Поэтому и комментировать здесь особо нечего. В настройках браузера приходится лазить в поисках прокси. (Кстати зачем - опять же непонятно). Вообще же, как я заметил, все ответы по большей мере даже не отмазками являются, а просто написаны не по теме. Написаны, лишь бы отписаться, показать, что ответы (хотя и далеки от темы) все-таки есть.

Думаю, уже на этом этапе все становится понятно. Другой вопрос - зачем компании воровать конфидециальные данные с компьютеров пользователей? Мошенничество? В принципе одно только понимание того, что Skype ворует такого рода информацию является доказательством мошенничества по отношению к людям. Но многие склоняются и к тому, что все эти данные компания бережно передает спецслужбам.

И почему бы и нет?! Программа установлена на большинстве машин. Разработчик использует закрытое ПО (что между прочим уже наводит на подозрения) с отличной защитой от декомпиляции/дебага. Программа с легкостью обходит фаерволлы (даже в случае того, что файрволл попытается остановить программу, пользователю все равно придется разрешить запуск Skype-а, иначе пользоваться программой станет невозможно). Что еще интересно здесь, так это то, что сетевой трафик Skype хорошо шифруется. Так же было замечено, что программа может спокойно передавать большие объёмы данных даже тогда, когда никаких звонков не совершается. И последнее: компания eBay (владелец Skype) уже была замечена в сотрудничестве со спецслужбами. Впрочем, это и так ясно, просто хочется так же и на это акцент сделать.

В заключение, пожалуй, хочется сказать только одно. Надеюсь, когда-нибудь русские программисты займутся подобного рода программами и сделают свой хороший аналог Skype-у и, естественно, с открытым программным кодом.