Eine neue Schwachstelle in Skype wurde entdeckt, welche euch den Zugriff auf gespeicherte Daten auf dem Smartphone gewährt, ohne die Eingabe des Entsperrcodes. Diese Schwachstelle betrifft Skype für Android und erlaubt es Nutzern sich Fotos und Kontakte anzusehen und auch den Browser zu starten.
Der Bug wurde erstmals von Florian Kunushevci entdeckt, welcher diesen daraufhin an Microsoft meldete. Der Entecker des Bugs gab an, dass eine Person im Besitz des Smartphones einen Skype-Anruf erhält, diesen annimmt und daraufhin Zugang zu Fotos, Kontakten und einen Einblick in die Nachrichten erhält und den Browser, über einen Link in einer erhaltenen Nachricht, öffnen kann, ohne das Smartphone entsperren zu müssen. In einem Interview mit The Register erklärte Florian Kunushevci wie er auf den Fehler gestoßen ist.
One day I got a feeling while using the app that there should be a Need to check a part which seems to give me other Option than it should. Then I hat to Change the way of thinking as a regular user into something that I can use for Exploitation. For the specific bug that I have found on Skype, it is more of a bad design and also a bug in coding. I think to put it all together, humans make mistakes.
Bereits im Oktober benachrichtigte er Microsoft über den Bug und machte die Schwachstelle öffentlich, nachdem der Fehler in der neuesten Skype for Android Version behoben worden ist. Microsoft hat zu dem Bug keine öffentliche Stellungnahme abgegeben.
Nachfolgend seht ihr ein YouTube-Video von Florian Kunushevci, in welchem er zeigt wie dieser Fehler ausgenutzt werden konnte.
via The Register