Vulnerabilidad en la aplicación Skype para Android permite acceder a los datos del teléfono sin un código de acceso

Un defecto de diseño en la versión de Android de la aplicación Skype permite desbloquear el teléfono sin una contraseña

Un cazador de errores ha descubierto una vulnerabilidad en la versión de Skype para Android de Microsoft que puede ser explotada para acceder a varias funciones de la aplicación sin ingresar la autenticación del código de acceso para desbloquear el teléfono.

Florian Kunushevci, un cazador de errores con sede en Kosovo, quien descubrió la vulnerabilidad, demostró la elusión en un video de YouTube (ver abajo). El video muestra que cualquier persona en posesión del teléfono de alguien para recibir una llamada de Skype, puede contestarla sin desbloquear el dispositivo.

Una vez que la persona contesta la llamada, puede ver fotos, acceder a contactos, enviar un mensaje y acceder al navegador haciendo clic en los enlaces enviados en el mensaje. Todas estas acciones se pueden llevar a cabo sin necesidad de desbloquear el teléfono.

Kunushevci, quien es un usuario habitual de la aplicación Skype para Android, descubrió que había algo mal en la forma en que la aplicación accedía a archivos locales en el dispositivo mientras realizaba llamadas VoIP.

“Un día tuve la sensación mientras usaba la aplicación de que debería haber una necesidad de revisar una parte que parece darme otras opciones de las que debería”, explicó a The Register. “Luego tuve que cambiar la forma de pensar como un usuario regular a algo que puedo usar para la explotación.”

El investigador descubrió que cuando se contesta una llamada de Skype, varias funciones de la aplicación del teléfono, como compartir fotos y buscar contactos, podrían ser accedidas independientemente de si el teléfono estaba bloqueado o no. En otras palabras, la vulnerabilidad permite a cualquiera acceder a la función de fotos y contactos sin confirmar si la persona que usa el dispositivo estaba autenticada.

Al igual que múltiples fallos de iOS encontrados en el sistema a lo largo de los años, esta vulnerabilidad se debe a una ligera omisión en la seguridad del sistema. Kunushevci dijo: “Para el error específico que he encontrado en Skype, es más un mal diseño y también un error en la codificación. Creo que para juntar todo, los humanos cometen errores.”

Kunushevci informó sobre la falla de seguridad a Microsoft en octubre antes de divulgarla al público. Aparentemente, la vulnerabilidad fue corregida en la versión de Skype lanzada el 23 de diciembre de 2018, que es segura de usar.

Se sugiere que los usuarios instalen o actualicen a la última versión de la aplicación Skype para Android para una mejor seguridad, ya que esta vulnerabilidad afecta a Skype en todas las versiones de Android. Tenga en cuenta que el parche para este error está incluido en todas las compilaciones de la aplicación Skype con un número de versión superior a 8.15.0.416 para diferentes versiones de Android.

Microsoft aún no ha emitido una declaración oficial sobre el asunto.