Vulnérabilité dans l'application Skype pour Android permettant d'accéder aux données du téléphone sans code d'accès

Une faille de conception dans la version Android de l’application Skype permet de déverrouiller le téléphone sans mot de passe

Un chasseur de bogues a découvert une vulnérabilité dans la version Android de l’application Skype de Microsoft qui peut être exploitée pour accéder à plusieurs fonctions de l’application sans entrer d’authentification par code d’accès pour déverrouiller le téléphone.

Le chasseur de bogues basé au Kosovo, Florian Kunushevci, qui a découvert la vulnérabilité, a démontré le contournement dans une vidéo YouTube (voir ci-dessous). La vidéo montre que quiconque en possession du téléphone de quelqu’un peut recevoir un appel Skype et y répondre sans déverrouiller l’appareil.

Une fois que la personne répond à l’appel, elle peut alors voir des photos, accéder aux contacts, envoyer un message et accéder au navigateur en cliquant sur les liens envoyés dans le message. Toutes ces actions peuvent être effectuées sans avoir besoin de déverrouiller le téléphone.

Kunushevci, qui est un utilisateur quotidien de l’application Skype pour Android, a découvert qu’il y avait quelque chose de mal dans la façon dont l’application accédait aux fichiers locaux sur l’appareil lors des appels VoIP.

“Un jour, j’ai eu l’impression en utilisant l’application qu’il devrait y avoir un besoin de vérifier une partie qui semble me donner d’autres options que celles qu’elle devrait”, a-t-il expliqué à The Register. “Puis j’ai dû changer ma façon de penser en tant qu’utilisateur régulier en quelque chose que je peux utiliser pour l’exploitation.”

Le chercheur a découvert que lorsqu’un appel Skype est répondu, plusieurs fonctions d’application de téléphone comme le partage de photos et la recherche de contacts pouvaient être accessibles, que le téléphone soit verrouillé ou non. En d’autres termes, la vulnérabilité permet à quiconque d’accéder à la fonction photo et contact sans confirmer si la personne utilisant l’appareil était authentifiée.

Tout comme plusieurs failles iOS trouvées dans le système au fil des ans, cette vulnérabilité est due à une légère négligence dans la sécurité du système. Kunushevci a déclaré : “Pour le bogue spécifique que j’ai trouvé sur Skype, c’est plus une mauvaise conception et aussi un bogue dans le codage. Je pense que pour tout mettre ensemble, les humains font des erreurs.”

Kunushevci a signalé la faille de sécurité à Microsoft en octobre avant de la divulguer au public. Apparemment, la vulnérabilité a été corrigée dans la version de Skype publiée le 23 décembre 2018, qui est sûre à utiliser.

Il est suggéré que les utilisateurs installent ou mettent à jour vers la dernière version de l’application Skype pour Android pour une meilleure sécurité, car cette vulnérabilité affecte Skype sur toutes les versions d’Android. Veuillez noter que le correctif pour ce bogue est inclus dans toutes les versions de l’application Skype avec un numéro de version supérieur à 8.15.0.416 pour différentes versions d’Android.

Microsoft n’a pas encore publié de déclaration officielle à ce sujet.