Android用Skypeアプリの脆弱性により、パスコードなしで電話データにアクセス可能

Android版Skypeアプリの設計上の欠陥により、パスワードなしで電話を解除可能

バグハンターが、MicrosoftのAndroid版Skypeアプリにおいて、電話のロックを解除するためのパスコード認証を入力せずに、いくつかのアプリ機能にアクセスできる脆弱性を発見しました。

コソボに拠点を置くバグハンターのフローリアン・クヌシェフチは、この脆弱性を発見し、YouTubeビデオでバイパスを実演しました（下記参照）。このビデオでは、誰かの電話を持っている人がSkypeコールを受けると、ハンドセットを解除せずに応答できることが示されています。

その人がコールに応答すると、写真を表示したり、連絡先にアクセスしたり、メッセージを送信したり、メッセージ内のリンクをクリックしてブラウザにアクセスしたりできます。これらのすべてのアクションは、電話を解除する必要なく実行できます。

クヌシェフチは、Android用Skypeアプリの通常のユーザーであり、VoIP通話を行う際にアプリがハンドセットのローカルファイルにアクセスする方法に何か問題があることに気付きました。

「ある日、アプリを使用していると、他の選択肢を与える部分を確認する必要があると感じました」と彼はThe Registerに説明しました。「その後、通常のユーザーとしての考え方を、悪用に使える何かに変える必要がありました。」

研究者は、Skypeコールに応答すると、写真共有や連絡先検索などのいくつかの電話アプリケーション機能に、電話がロックされているかどうかに関係なくアクセスできることを発見しました。言い換えれば、この脆弱性により、ハンドセットを使用している人が認証されているかどうかを確認することなく、誰でも写真や連絡先機能にアクセスできるようになります。

過去数年にわたり、システム内で発見された複数のiOSの欠陥と同様に、この脆弱性はシステムのセキュリティにおけるわずかな見落としによるものです。クヌシェフチは、「私がSkypeで見つけた特定のバグは、設計の悪さとコーディングのバグによるものです。すべてをまとめると、人間は間違いを犯します。」と述べました。

クヌシェフチは、脆弱性を公表する前に、10月にMicrosoftにセキュリティの欠陥を報告しました。どうやら、この脆弱性は2018年12月23日にリリースされたSkypeのバージョンで修正され、安全に使用できるようです。

この脆弱性はすべてのAndroidバージョンのSkypeに影響を与えるため、ユーザーはAndroid用Skypeアプリの最新バージョンをインストールまたはアップグレードすることをお勧めします。このバグのパッチは、異なるAndroidバージョンの8.15.0.416以上のバージョン番号を持つすべてのSkypeアプリビルドに含まれています。

Microsoftは、この件について公式な声明をまだ発表していません。