Vulnerabilità nell'app Skype per Android consente l'accesso ai dati del telefono senza un codice di accesso

Difetto di design nella versione Android dell’app Skype consente di sbloccare il telefono senza una password

Un cacciatore di bug ha scoperto una vulnerabilità nella versione Android dell’app Skype di Microsoft che può essere sfruttata per accedere a diverse funzioni dell’app senza inserire l’autenticazione del codice di accesso per sbloccare il telefono.

Il cacciatore di bug con sede in Kosovo, Florian Kunushevci, che ha scoperto la vulnerabilità, ha dimostrato il bypass in un video su YouTube (vedi sotto). Il video mostra che chiunque sia in possesso del telefono di qualcuno per ricevere una chiamata Skype, può rispondere senza sbloccare il dispositivo.

Una volta che la persona risponde alla chiamata, può quindi visualizzare foto, accedere ai contatti, inviare un messaggio e accedere al browser facendo clic sui link inviati nel messaggio. Tutte queste azioni possono essere eseguite senza la necessità di sbloccare il telefono.

Kunushevci, che è un utente quotidiano dell’app Skype per Android, ha scoperto che c’era qualcosa di sbagliato nel modo in cui l’app accedeva ai file locali sul dispositivo mentre eseguiva chiamate VoIP.

“Un giorno ho avuto la sensazione mentre usavo l’app che ci fosse bisogno di controllare una parte che sembrava darmi altre opzioni di quelle che avrebbe dovuto”, ha spiegato a The Register. “Poi ho dovuto cambiare il modo di pensare da utente normale a qualcosa che posso usare per sfruttare.”

Il ricercatore ha scoperto che quando una chiamata Skype viene risposta, diverse funzioni dell’applicazione telefonica come la condivisione di foto e la ricerca di contatti possono essere accessibili indipendentemente dal fatto che il telefono fosse bloccato o meno. In altre parole, la vulnerabilità consente a chiunque di accedere alla funzione foto e contatti senza confermare se la persona che utilizza il dispositivo fosse autenticata.

Proprio come i molteplici difetti di iOS trovati nel sistema nel corso degli anni, questa vulnerabilità è dovuta a una leggera svista nella sicurezza del sistema. Kunushevci ha detto: “Per il bug specifico che ho trovato su Skype, è più un cattivo design e anche un bug nella codifica. Penso che per mettere tutto insieme, gli esseri umani fanno errori.”

Kunushevci ha segnalato il difetto di sicurezza a Microsoft in ottobre prima di divulgarlo al pubblico. Apparentemente, la vulnerabilità è stata corretta nella versione di Skype rilasciata il 23 dicembre 2018, che è sicura da usare.

Si suggerisce agli utenti di installare o aggiornare all’ultima versione dell’app Skype per Android per una migliore sicurezza, poiché questa vulnerabilità colpisce Skype su tutte le versioni di Android. Si prega di notare che la patch per questo bug è inclusa in tutte le build dell’app Skype con un numero di versione superiore a 8.15.0.416 per diverse versioni di Android.

Microsoft deve ancora rilasciare una dichiarazione ufficiale sulla questione.