Uma vulnerabilidade no Skype Android expõe fotos e contactos dos utilizadores.

O investigado Florian Kunushevci descobriu uma vulnerabilidade que permite que um atacante local não autenticado visualize as fotos e contactos, e também abra links no web-browser da vítima.

Em seguida, o atacante precisará receber uma chamada do Skype e responder para obter acesso aos dados do utilizador, mesmo que o dispositivo esteja bloqueado.

 

“Skype Android Authentication Bypass

-> View pictures & albums at the victim phone

-> View Contacts inside the phone (Numbers + Names)

-> Access Browser

A new vulnerability that I found on Skype has been fixed that affected millions of android devices around the world that uses Skype. Thew new update you will find from 23 December 2018. ” wrote the expert.

A falha foi descoberta pelo investigador em outubro, e de imediato foi reportada à Microsoft. A Microsoft corrigiu a falha ao lançar uma nova versão do Skype no dia 23 de dezembro.

 

Um dispositivo bloqueado não deve permitir que um utilizador aceda às fotos e contatos sem uma autenticação prévia.

Foi possível explorar esta falha porque o investigador descobrir um erro de código, e que lhe confere a posssibilidade de aceder as fotos, contactos mas também enviar mensagens.

A falha também permite o lançar o navegador no dispositivo Android. O atacante só precisa enviar uma mensagem do Skype contendo um link e, em seguida, clicar no link.

A falha parece afetar todos os dispositivos Android que executam uma versão vulnerável do Skype.  A app deve ser atualizada para a sua última versão.

 

One day I got a feeling while using the app that there should be a need to check a part which seems to give me other options than it should. Then I had to change the way of thinking as a regular user into something that I can use for exploitation. For the specific bug that I have found on Skype, it is more of a bad design and also a bug in coding. I think to put it all together, humans make mistakes.

– Florian Kunushevci