Sicherheitsanfälligkeit in der Skype-App für Android ermöglicht Zugriff auf Telefondaten ohne Passcode

Designfehler in der Android-Version der Skype-App ermöglicht das Entsperren des Telefons ohne Passwort

Ein Bug-Jäger hat eine Sicherheitsanfälligkeit in der Android-Version der Skype-App von Microsoft entdeckt, die ausgenutzt werden kann, um auf mehrere Funktionen der App zuzugreifen, ohne die Passcode-Authentifizierung zum Entsperren des Telefons einzugeben.

Der in Kosovo ansässige Bug-Jäger Florian Kunushevci, der die Sicherheitsanfälligkeit entdeckt hat, demonstrierte den Umgehungsmechanismus in einem YouTube-Video (siehe unten). Das Video zeigt, dass jeder, der im Besitz des Telefons einer anderen Person ist, einen Skype-Anruf entgegennehmen kann, ohne das Gerät zu entsperren.

Sobald die Person den Anruf annimmt, kann sie Fotos ansehen, auf Kontakte zugreifen, eine Nachricht senden und den Browser aufrufen, indem sie auf die Links klickt, die in der Nachricht gesendet wurden. All diese Aktionen können durchgeführt werden, ohne das Telefon entsperren zu müssen.

Kunushevci, der ein alltäglicher Nutzer der Skype-App für Android ist, stellte fest, dass etwas nicht stimmte mit der Art und Weise, wie die App auf lokale Dateien auf dem Gerät zugreift, während VoIP-Anrufe durchgeführt werden.

„Eines Tages hatte ich das Gefühl, während ich die App benutzte, dass ich einen Teil überprüfen sollte, der mir andere Optionen zu geben scheint, als er sollte“, erklärte er gegenüber The Register. „Dann musste ich meine Denkweise als normaler Nutzer in etwas ändern, das ich für eine Ausnutzung verwenden kann.“

Der Forscher entdeckte, dass beim Annehmen eines Skype-Anrufs mehrere Funktionen der Telefonanwendung wie das Teilen von Fotos und das Nachschlagen von Kontakten unabhängig davon zugänglich waren, ob das Telefon gesperrt war oder nicht. Mit anderen Worten, die Sicherheitsanfälligkeit ermöglicht es jedem, auf die Foto- und Kontaktfunktion zuzugreifen, ohne zu bestätigen, ob die Person, die das Gerät verwendet, authentifiziert war.

Ähnlich wie bei mehreren iOS-Fehlern, die im Laufe der Jahre im System gefunden wurden, ist diese Sicherheitsanfälligkeit auf ein kleines Versäumnis in der Sicherheit des Systems zurückzuführen. Kunushevci sagte: „Für den spezifischen Fehler, den ich in Skype gefunden habe, handelt es sich mehr um ein schlechtes Design und auch um einen Fehler im Code. Ich denke, um alles zusammenzufassen, machen Menschen Fehler.“

Kunushevci meldete die Sicherheitsanfälligkeit im Oktober an Microsoft, bevor er sie der Öffentlichkeit bekannt gab. Offensichtlich wurde die Sicherheitsanfälligkeit in der Version von Skype, die am 23. Dezember 2018 veröffentlicht wurde, behoben, die sicher zu verwenden ist.

Es wird empfohlen, dass Benutzer die neueste Version der Skype-App für Android installieren oder aktualisieren, um eine bessere Sicherheit zu gewährleisten, da diese Sicherheitsanfälligkeit Skype auf allen Android-Versionen betrifft. Bitte beachten Sie, dass der Patch für diesen Fehler in allen Skype-App-Bauten mit einer Versionsnummer über 8.15.0.416 für verschiedene Android-Versionen enthalten ist.

Microsoft hat bisher noch keine offizielle Stellungnahme zu dem Thema abgegeben.