Баг в Android-версии Skype позволяет получить доступ к фото и контактам

Баг в Android-версии Skype позволяет получить доступ к фото и контактам

В Android-версии приложения Skype обнаружена проблема — злоумышленник может обойти экран блокировки смартфона и получить доступ к фотографиям, контактам и даже запустить окна браузера. Лазейку обнаружил 19-летний исследователь Флориан Кунушевций из республики Косово, который передал все необходимые сведения в Microsoft.

По словам специалиста, для использования уязвимости необходим физический доступ к смартфону жертвы. При условии наличия такого доступа злоумышленник сможет принимать и отвечать на входящие вызовы без необходимости разблокировки устройства.

Помимо этого, появляется доступ к фотографиям, контактам, открывается возможность для отправки сообщений. Это просто подарок для лиц, занимающихся кражей смартфонов, так как для осуществления всех вышеописанных действий не требуется вводить код разблокировки устройства.

Обнаруживший баг эксперт утверждает, что сначала он обратил внимание на некорректный способ обработки Skype файлов, хранящихся на мобильном устройстве:

«Как-то раз в процессе использования приложения у меня возникло ощущение, что некоторые функции мне предоставляются без должного уровня проверки. Мне пришлось взглянуть на это немного с другой стороны, чтобы выработать способ эксплуатации этого бага».

Кунушевций обнаружил, что сразу после принятия входящего вызова на Skype приложение допускает доступ к фото и контактам, чего не должно происходить без введения кода разблокировки или любого другого метода аутентификации.

По словам эксперта, баг затрагивает Skype на всех версиях Android. Разработчики пообещали вскоре исправить недоразумение с выходом версии 8.15.0.416.

Для наглядности эксперт опубликовал видео, на котором демонстрируется эксплуатация этой бреши:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Цена зараженного WannaCry и MyDoom ноутбука на аукционе превысила $1 млн

Ноутбук, зараженный шестью знаменитыми вредоносными программами, разыгрывается на публичном аукционе. Исторически эти шесть вредоносов стоили финансовых убытков в размере $95 миллиардов. А стоимость лэптопа уже превысила $1 миллион.

В рамках проекта «The Persistence of Chaos» компания Deep Instinct заразила устройство Samsung NC10-14GB 10.2-Inch Blue Netbook (2008), работающее на Windows XP SP3, шестью вредоносными программами.

Среди этих программ были такие «гиганты» киберпреступности, как WannaCry, заразивший сотни тысяч компьютеров в 2017 году, а также BlackEnergy, который стал причиной перебоев с электроэнергией на Украине в 2015 году.

Помимо этого, ноутбук был также заражен вредоносом ILOVEYOU, червем MyDoom, трояном SoBig и зловредом DarkTequila.

Deep Instinct решила изолировать зараженный компьютер, отключив его от Сети, чтобы предотвратить дальнейшее распространение вредоносных программ, которые могут потенциально навредить другим пользователям.

На момент написания материала точная цена устройства составила $1 130 500.

За прямой трансляцией этого действа можно наблюдать на странице проекта «The Persistence of Chaos».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru