Skype permitia que senha fosse ignorada e celular Android fosse desbloqueado com ligação
Precisa espionar seu cônjuge? Seus funcionários? Aquele sujeito suspeito que se recusa a desbloquear o Android? Foi fácil até algumas semanas atrás: você poderia apenas pegar o telefone, fazer uma chamada pelo Skype, atender a chamada e, em seguida, dar uma bisbilhotada, tudo sem a necessidade de senha.
Em outubro, Florian Kunushevci, um caçador de insetos de 19 anos do Kosovo, relatou a falha de segurança para a Microsoft a respeito do app Skype para Android. O problema foi corrigido na última versão do Skype, que foi emitida em 23 de dezembro.
Ele disse em uma postagem no LinkedIn que, depois que ligou por Skype para um telefone alvo, a vulnerabilidade permitiu que ele visualizasse as fotos, álbuns, nomes e números de telefone na lista de contatos da vítima, além de permitir que ele acessasse o navegador do telefone. Ele também descobriu que podia enviar mensagens do telefone, tudo sem desbloqueá-lo.
Aqui está o vídeo da prova:
Nada disso deveria acontecer. Um usuário/invasor/ladrão/espião não deve ter acesso a dados como fotos e contatos sem ter passado pela autenticação por senha, PIN, padrão de tela de bloqueio ou impressão digital.
Kunushevci disse ao The Register, um portal inglês de notícias do mundo de TI, que ele não estava procurando por bugs do Skype para Android. Ele estava apenas usando o aplicativo Voice-over-IP (VoIP) quando percebeu algo estranho sobre como acessava os arquivos em seu aparelho. Foi quando ele começou a investigar para ver como isso poderia ser explorado:
Um dia, tive a sensação de que, ao usar o aplicativo, deveria haver a necessidade de verificar uma parte que parece me dar outras opções do que deveria. Então eu tive que mudar a maneira de pensar como usuário comum em algo que eu possa usar para exploração.
Isso é semelhante a uma falha do iOS 9 de alguns anos atrás que permite fazer a mesma coisa. Em setembro de 2015, a Apple corrigiu um buraco na tela de bloqueio que permitia que qualquer pessoa visualizasse e editasse seus contatos, enviasse mensagens de texto e vasculhasse suas fotos, tudo sem digitar uma senha.
Se você tivesse um dispositivo iOS 9 ou 9.0.1 com Siri acessível a partir da tela de bloqueio, estaria vulnerável, independentemente do tipo ou comprimento ou da senha, e independentemente de ter ativado o TouchID.
Kunushevci disse:
Para o bug específico que eu encontrei no Skype, é mais um projeto ruim e também um bug na codificação. Eu acho que para juntar tudo isso, os humanos cometem erros.
Kunushevci disse que a vulnerabilidade do Skype for Android provavelmente afeta todos os dispositivos Android usando uma versão do Skype sem patch. Para se proteger do bug, os usuários devem atualizar o aplicativo Skype for Android se ainda não o fizeram.
O pesquisador não recebeu uma recompensa por bug, ele disse, mas ele deve receber uma menção no hall da fama dos caçadores de erros da Microsoft, quando isso for atualizado.
Com informações do blog Naked Security, da Sophos.
Patch Tuesday: Atualizações da Microsoft e Adobe de janeiro de 2019 já estão disponíveis | SdRedes
8 de janeiro de 2019[…] prioridade é o CVE-2019-0622, um bug de elevação de privilégio (EoP) que afeta o aplicativo Skype para Android e que permite que alguém com acesso físico ignore o bloqueio de tela do Android, dando acesso a fotos e […]