В Android-версии приложения Skype обнаружена проблема — злоумышленник может обойти экран блокировки смартфона и получить доступ к фотографиям, контактам и даже запустить окна браузера. Лазейку обнаружил 19-летний исследователь Флориан Кунушевций из республики Косово, который передал все необходимые сведения в Microsoft.
По словам специалиста, для использования уязвимости необходим физический доступ к смартфону жертвы. При условии наличия такого доступа злоумышленник сможет принимать и отвечать на входящие вызовы без необходимости разблокировки устройства.
Помимо этого, появляется доступ к фотографиям, контактам, открывается возможность для отправки сообщений. Это просто подарок для лиц, занимающихся кражей смартфонов, так как для осуществления всех вышеописанных действий не требуется вводить код разблокировки устройства.
Обнаруживший баг эксперт утверждает, что сначала он обратил внимание на некорректный способ обработки Skype файлов, хранящихся на мобильном устройстве:
«Как-то раз в процессе использования приложения у меня возникло ощущение, что некоторые функции мне предоставляются без должного уровня проверки. Мне пришлось взглянуть на это немного с другой стороны, чтобы выработать способ эксплуатации этого бага».
Кунушевций обнаружил, что сразу после принятия входящего вызова на Skype приложение допускает доступ к фото и контактам, чего не должно происходить без введения кода разблокировки или любого другого метода аутентификации.
По словам эксперта, баг затрагивает Skype на всех версиях Android. Разработчики пообещали вскоре исправить недоразумение с выходом версии 8.15.0.416.
Для наглядности эксперт опубликовал видео, на котором демонстрируется эксплуатация этой бреши:
