안드로이드용 Skype 앱의 취약점으로 비밀번호 없이 전화 데이터에 접근 가능

안드로이드 버전 Skype 앱의 설계 결함으로 비밀번호 없이 전화 잠금을 해제할 수 있음

버그 헌터가 Microsoft의 안드로이드 버전 Skype 앱에서 비밀번호 인증 없이 여러 앱 기능에 접근할 수 있는 취약점을 발견했습니다.

코소보에 기반을 둔 버그 헌터 플로리안 쿠누셰프치는 이 취약점을 발견하고 YouTube 비디오에서 우회 방법을 시연했습니다 (아래 참조). 이 비디오는 누군가의 전화를 소지한 사람이 Skype 전화를 받을 수 있으며, 핸드셋을 잠금 해제하지 않고도 전화를 받을 수 있음을 보여줍니다.

전화를 받은 후, 그 사람은 사진을 보고, 연락처에 접근하고, 메시지를 보내고, 메시지에 전송된 링크를 클릭하여 브라우저에 접근할 수 있습니다. 이러한 모든 작업은 전화 잠금을 해제할 필요 없이 수행할 수 있습니다.

안드로이드용 Skype 앱의 일상 사용자인 쿠누셰프치는 VoIP 통화를 수행하는 동안 앱이 핸드셋의 로컬 파일에 접근하는 방식에 문제가 있음을 발견했습니다.

“어느 날 앱을 사용하면서 다른 옵션을 제공하는 부분을 확인해야 할 필요가 있다고 느꼈습니다.”라고 그는 The Register에 설명했습니다. “그런 다음 일반 사용자로서의 사고 방식을 착취에 사용할 수 있는 것으로 바꿔야 했습니다.”

연구자는 Skype 전화를 받을 때 사진 공유 및 연락처 조회와 같은 여러 전화 애플리케이션 기능에 접근할 수 있음을 발견했습니다. 즉, 이 취약점은 핸드셋을 사용하는 사람이 인증되었는지 확인하지 않고도 누구나 사진 및 연락처 기능에 접근할 수 있게 합니다.

수년간 시스템에서 발견된 여러 iOS 결함과 마찬가지로, 이 취약점은 시스템 보안의 약간의 간과로 인해 발생합니다. 쿠누셰프치는 “제가 Skype에서 발견한 특정 버그는 나쁜 설계와 코드의 버그입니다. 모든 것을 종합해보면, 인간은 실수를 합니다.”라고 말했습니다.

쿠누셰프치는 이 보안 결함을 공개하기 전에 10월에 Microsoft에 보고했습니다. 이 취약점은 2018년 12월 23일에 출시된 Skype 버전에서 수정된 것으로 보이며, 안전하게 사용할 수 있습니다.

이 취약점은 모든 안드로이드 버전의 Skype에 영향을 미치므로, 사용자에게 더 나은 보안을 위해 안드로이드용 Skype 앱의 최신 버전을 설치하거나 업그레이드할 것을 권장합니다. 이 버그에 대한 패치는 다양한 안드로이드 버전의 8.15.0.416 이상의 버전 번호를 가진 모든 Skype 앱 빌드에 포함되어 있습니다.

Microsoft는 이 문제에 대해 공식 성명을 아직 발표하지 않았습니다.