Skype Schwachstelle erlaubte Nutzern die Smartphone-Entsperrung während eines Anrufs zu umgehen

9

Eine neue Schwachstelle in Skype wurde entdeckt, welche euch den Zugriff auf gespeicherte Daten auf dem Smartphone gewährt, ohne die Eingabe des Entsperrcodes. Diese Schwachstelle betrifft Skype für Android und erlaubt es Nutzern sich Fotos und Kontakte anzusehen und auch den Browser zu starten.

Der Bug wurde erstmals von Florian Kunushevci entdeckt, welcher diesen daraufhin an Microsoft meldete. Der Entecker des Bugs gab an, dass eine Person im Besitz des Smartphones einen Skype-Anruf erhält, diesen annimmt und daraufhin Zugang zu Fotos, Kontakten und einen Einblick in die Nachrichten erhält und den Browser, über einen Link in einer erhaltenen Nachricht, öffnen kann, ohne das Smartphone entsperren zu müssen. In einem Interview mit The Register erklärte Florian Kunushevci wie er auf den Fehler gestoßen ist.

One day I got a feeling while using the app that there should be a Need to check a part which seems to give me other Option than it should. Then I hat to Change the way of thinking as a regular user into something that I can use for Exploitation. For the specific bug that I have found on Skype, it is more of a bad design and also a bug in coding. I think to put it all together, humans make mistakes.

Bereits im Oktober benachrichtigte er Microsoft über den Bug und machte die Schwachstelle öffentlich, nachdem der Fehler in der neuesten Skype for Android Version behoben worden ist. Microsoft hat zu dem Bug keine öffentliche Stellungnahme abgegeben.

Nachfolgend seht ihr ein YouTube-Video von Florian Kunushevci, in welchem er zeigt wie dieser Fehler ausgenutzt werden konnte.


via The Register

Über den Autor

23 Jahre, Student: Informatik Game-Engineering, Xbox-Spieler

9
Hinterlasse einen Kommentar

Please Login to comment
3 Comment threads
1 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
Tom Hedgehogstefirospaten Recent comment authors
  Subscribe  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Dustynation
Mitglied
Dustynation

Oh, Lumia. Oh, Lumia! 😞

Tom Hedgehog
Mitglied
Tom Hedgehog

OK, ich chatte sehr viel über Skype, aber telefoniere nur sehr wenig. Und wenn, mit guten Bekannten oder Freunden. Da sehe ich kein Sicherheitsrisiko. Besonders deswegen, weil ich keinerlei Daten (Dateien, Fotos und so weiter) auf dem Smartphone gespeichert habe, ist alles in der Cloud. OK, die Kontakte, das ist natürlich ungut. Hoffentlich nehmen sie sich dieser Schwachstelle bald an.

stefiro
Mitglied
stefiro

Lies mal den Text bis zu Ende (vorletzter Abschnitt) … Ist wohl schon behoben, wenn ich das richtig verstanden habe, und er hat die Lücke auch erst öffentlich gemacht, nachdem sie behoben war. Liegt nun an den Usern, ihre Version zu aktualisieren …

stefiro
Mitglied
stefiro

Irgendeinen Nachteil gegenüber Skype für Windows muss Skype für Android ja haben … 😜

spaten
Mitglied
spaten

nicht gut. aber ist das nicht eine Schwachstelle im System?

stefiro
Mitglied
stefiro

Nein, denn grundsätzlich ist es möglich Skype die Berechtigung zum Zugriff auf Kontakte und Dateien zu erlauben, damit man in Skype auf Kontakte und Dateien zugreifen kann …

spaten
Mitglied
spaten

ok, berechtigter Einwand. Allerdings sollte so etwas systematisch unterbunden werden, wenn das Gerät gesperrt ist… funktioniert doch bei Windows auch…

stefiro
Mitglied
stefiro

Naja, ham sie ja dann auch gemacht …

fuchur
Mitglied
fuchur

Ne, er meint programme sollten von Android gar nicht erst zugriffsmöglichkeit auf solche daten mit GUI ausgabe haben. Aber ist mal wieder ein problem, weil android zu offen ist. Sie wälzen damit solche sicherheitsrelevanten geschichten auf den app programmierer ab (was bei sovielen entwicklern ohne tiefgreifende kenntnisse keine gute idee ist) was eigentlich quatsch ist. Bei einer guten sicherheitsarchitektur im OS sollte sowas gar nicht gehen, aber die hat android noch nie gehabt.