Уязвимость в приложении Skype для Android позволяет получить доступ к данным телефона без пароля

Дефект дизайна в версии Skype для Android позволяет разблокировать телефон без пароля

Охотник за ошибками обнаружил уязвимость в Android-версии приложения Skype от Microsoft, которую можно использовать для доступа к нескольким функциям приложения без ввода пароля для разблокировки телефона.

Охотник за ошибками из Косово Флориан Кунушевци, который обнаружил уязвимость, продемонстрировал обход в видео на YouTube (см. ниже). Видео показывает, что любой, кто имеет телефон другого человека, чтобы получить звонок в Skype, может ответить на него без разблокировки устройства.

Как только человек отвечает на звонок, он или она может просмотреть фотографии, получить доступ к контактам, отправить сообщение и получить доступ к браузеру, нажав на ссылки, отправленные в сообщении. Все эти действия могут быть выполнены без необходимости разблокировки телефона.

Кунушевци, который является обычным пользователем приложения Skype для Android, обнаружил, что что-то не так с тем, как приложение получало доступ к локальным файлам на устройстве во время выполнения VoIP-звонков.

“Однажды, используя приложение, я почувствовал, что должно быть что-то, что дает мне другие варианты, чем должно,” объяснил он изданию The Register. “Затем мне пришлось изменить способ мышления как обычного пользователя на что-то, что я могу использовать для эксплуатации.”

Исследователь обнаружил, что когда звонок в Skype принимается, несколько функций телефонного приложения, таких как обмен фотографиями и поиск контактов, могут быть доступны независимо от того, заблокирован телефон или нет. Другими словами, уязвимость позволяет любому получить доступ к функции фотографий и контактов без подтверждения, был ли пользователь устройства аутентифицирован.

Как и множество уязвимостей iOS, найденных в системе за эти годы, эта уязвимость вызвана небольшим упущением в безопасности системы. Кунушевци сказал: “Для конкретной ошибки, которую я нашел в Skype, это скорее плохой дизайн и также ошибка в кодировании. Я думаю, что, чтобы все это объединить, люди совершают ошибки.”

Кунушевци сообщил о проблеме безопасности Microsoft в октябре, прежде чем раскрыть ее общественности. По всей видимости, уязвимость была исправлена в версии Skype, выпущенной 23 декабря 2018 года, которая безопасна для использования.

Рекомендуется, чтобы пользователи установили или обновили до последней версии приложения Skype для Android для лучшей безопасности, так как эта уязвимость затрагивает Skype на всех версиях Android. Обратите внимание, что патч для этой ошибки включен во все сборки приложения Skype с номером версии выше 8.15.0.416 для различных версий Android.

Microsoft еще не выпустила официальное заявление по этому вопросу.