Eine neue Schwachstelle in Skype wurde entdeckt, welche euch den Zugriff auf gespeicherte Daten auf dem Smartphone gewährt, ohne die Eingabe des Entsperrcodes. Diese Schwachstelle betrifft Skype für Android und erlaubt es Nutzern sich Fotos und Kontakte anzusehen und auch den Browser zu starten.
Der Bug wurde erstmals von Florian Kunushevci entdeckt, welcher diesen daraufhin an Microsoft meldete. Der Entecker des Bugs gab an, dass eine Person im Besitz des Smartphones einen Skype-Anruf erhält, diesen annimmt und daraufhin Zugang zu Fotos, Kontakten und einen Einblick in die Nachrichten erhält und den Browser, über einen Link in einer erhaltenen Nachricht, öffnen kann, ohne das Smartphone entsperren zu müssen. In einem Interview mit The Register erklärte Florian Kunushevci wie er auf den Fehler gestoßen ist.
One day I got a feeling while using the app that there should be a Need to check a part which seems to give me other Option than it should. Then I hat to Change the way of thinking as a regular user into something that I can use for Exploitation. For the specific bug that I have found on Skype, it is more of a bad design and also a bug in coding. I think to put it all together, humans make mistakes.
Bereits im Oktober benachrichtigte er Microsoft über den Bug und machte die Schwachstelle öffentlich, nachdem der Fehler in der neuesten Skype for Android Version behoben worden ist. Microsoft hat zu dem Bug keine öffentliche Stellungnahme abgegeben.
Nachfolgend seht ihr ein YouTube-Video von Florian Kunushevci, in welchem er zeigt wie dieser Fehler ausgenutzt werden konnte.
via The Register
Oh, Lumia. Oh, Lumia! ?
OK, ich chatte sehr viel über Skype, aber telefoniere nur sehr wenig. Und wenn, mit guten Bekannten oder Freunden. Da sehe ich kein Sicherheitsrisiko. Besonders deswegen, weil ich keinerlei Daten (Dateien, Fotos und so weiter) auf dem Smartphone gespeichert habe, ist alles in der Cloud. OK, die Kontakte, das ist natürlich ungut. Hoffentlich nehmen sie sich dieser Schwachstelle bald an.
Lies mal den Text bis zu Ende (vorletzter Abschnitt) … Ist wohl schon behoben, wenn ich das richtig verstanden habe, und er hat die Lücke auch erst öffentlich gemacht, nachdem sie behoben war. Liegt nun an den Usern, ihre Version zu aktualisieren …
Irgendeinen Nachteil gegenüber Skype für Windows muss Skype für Android ja haben … ?
nicht gut. aber ist das nicht eine Schwachstelle im System?
Nein, denn grundsätzlich ist es möglich Skype die Berechtigung zum Zugriff auf Kontakte und Dateien zu erlauben, damit man in Skype auf Kontakte und Dateien zugreifen kann …
ok, berechtigter Einwand. Allerdings sollte so etwas systematisch unterbunden werden, wenn das Gerät gesperrt ist… funktioniert doch bei Windows auch…
Naja, ham sie ja dann auch gemacht …
Ne, er meint programme sollten von Android gar nicht erst zugriffsmöglichkeit auf solche daten mit GUI ausgabe haben. Aber ist mal wieder ein problem, weil android zu offen ist. Sie wälzen damit solche sicherheitsrelevanten geschichten auf den app programmierer ab (was bei sovielen entwicklern ohne tiefgreifende kenntnisse keine gute idee ist) was eigentlich quatsch ist. Bei einer guten sicherheitsarchitektur im OS sollte sowas gar nicht gehen, aber die hat android noch nie gehabt.