Vulnerabilidade no aplicativo Skype para Android permite acesso a dados do telefone sem um código de acesso

Falha de design na versão Android do aplicativo Skype permite desbloquear o telefone sem uma senha

Um caçador de bugs descobriu uma vulnerabilidade na versão Android do aplicativo Skype da Microsoft que pode ser explorada para acessar várias funções do aplicativo sem inserir a autenticação de código de acesso para desbloquear o telefone.

O caçador de bugs baseado no Kosovo, Florian Kunushevci, que descobriu a vulnerabilidade, demonstrou a brecha em um vídeo no YouTube (veja abaixo). O vídeo mostra que qualquer pessoa em posse do telefone de alguém para receber uma chamada do Skype pode atendê-la sem desbloquear o aparelho.

Uma vez que a pessoa atende a chamada, ela pode então visualizar fotos, acessar contatos, enviar uma mensagem e acessar o navegador clicando nos links enviados na mensagem. Todas essas ações podem ser realizadas sem a necessidade de desbloquear o telefone.

Kunushevci, que é um usuário comum do aplicativo Skype para Android, descobriu que havia algo errado na maneira como o aplicativo acessava arquivos locais no aparelho enquanto realizava chamadas VoIP.

“Um dia eu tive a sensação enquanto usava o aplicativo de que deveria haver a necessidade de verificar uma parte que parece me dar outras opções do que deveria”, explicou ele ao The Register. “Então eu tive que mudar a forma de pensar de um usuário comum para algo que eu posso usar para exploração.”

O pesquisador descobriu que quando uma chamada do Skype é atendida, várias funções do aplicativo do telefone, como compartilhamento de fotos e busca de contatos, poderiam ser acessadas independentemente de o telefone estar bloqueado ou não. Em outras palavras, a vulnerabilidade permite que qualquer pessoa acesse o recurso de fotos e contatos sem confirmar se a pessoa que está usando o aparelho foi autenticada.

Assim como várias falhas do iOS encontradas no sistema ao longo dos anos, essa vulnerabilidade se deve a uma leve negligência na segurança do sistema. Kunushevci disse: “Para o bug específico que encontrei no Skype, é mais uma falha de design e também um erro na codificação. Acho que, para juntar tudo, os humanos cometem erros.”

Kunushevci relatou a falha de segurança à Microsoft em outubro antes de divulgá-la ao público. Aparentemente, a vulnerabilidade foi corrigida na versão do Skype lançada em 23 de dezembro de 2018, que é segura para uso.

Sugere-se que os usuários instalem ou atualizem para a versão mais recente do aplicativo Skype para Android para melhor segurança, uma vez que essa vulnerabilidade afeta o Skype em todas as versões do Android. Por favor, note que a correção para esse bug está incluída em todas as versões do aplicativo Skype com um número de versão superior a 8.15.0.416 para diferentes versões do Android.

A Microsoft ainda não emitiu uma declaração oficial sobre o assunto.