Et voilà, une application, de préférence closed-source, a besoin de déterminer le login d'un utilisateur sous Linux en utilisant les fonctions de la famille getpw*() (en réalité c'est même pas l'application, c'est son toolkit graphique: QT), et on prend ça pour une backdoor qui vole le fichier /etc/passwd de la machine (super logique quand on sait que la quasi totalité des distribs Linux de nos jours utilisent /etc/shadow - désolé je n'ai aucune source là dessus mais cela va de soi). Notez mon intervention page 2 pour expliquer à peu près que toute application (ou presque, expliqué plus bas dans la page) utilisant getpw*() lit le fichier passwd.
Un pote m'a dit que j'ai lancé le troll de l'année avec mon idée de la raison de l'accès au profil firefox: je ne trouve pas ça spécialement trollesque, surtout quand on lit un des développeurs (ok, un développeur de l'interface, pas du coeur de skype, mais j'imagine qu'il en sait un minimum) expliquer ce qu'il en pense.
Bien sûr, il n'empêche que skype a un fonctionnement super opaque, on ne sait vraiment pas si on peut y faire confiance, aussi bien pour l'aspect fuite de données eventuelle, mais aussi pour l'aspect faille de sécu dans skype qui pourrait poser problème sur un réseau entier si exploitée, mais de là à voir le mal dans chacune de ses actions...
Un pote m'a dit que j'ai lancé le troll de l'année avec mon idée de la raison de l'accès au profil firefox: je ne trouve pas ça spécialement trollesque, surtout quand on lit un des développeurs (ok, un développeur de l'interface, pas du coeur de skype, mais j'imagine qu'il en sait un minimum) expliquer ce qu'il en pense.
Bien sûr, il n'empêche que skype a un fonctionnement super opaque, on ne sait vraiment pas si on peut y faire confiance, aussi bien pour l'aspect fuite de données eventuelle, mais aussi pour l'aspect faille de sécu dans skype qui pourrait poser problème sur un réseau entier si exploitée, mais de là à voir le mal dans chacune de ses actions...
2 commentaires:
Ca trolle toujours avec sk*pe, c'est vrai que ça peut être agaçant, tout ça est du à cause de la manière dont ils ont "blindé" leur application: protocole réseau obfusqué, packer, contournement de pare-feu,...
Tout le monde a alors l impression qu'il y a quelque chose de cachée.
Sk*pe veut peut être tout simplement camoufler le code pour éviter que certains reversers trouvent trop vite des failles dans leur protocole. Néanmoins une politique open-source permet de corriger plus vite les bugs.
Hum, pour le contournement de firewall, il me *semble* que d'autres applications font ça (attention je n'en suis absolument pas certain), de tête je crois que SJphone fait ça, mais faudrait vérifier (je ne m'en sers plus depuis longtemps)
Enregistrer un commentaire