La vulnerabilità nell’app Skype per Android consente l’accesso ai dati del telefono senza passcode

Un difetto di progettazione nella versione Android dell’app Skype consente di sbloccare il telefono senza password

Un cacciatore di bug ha scoperto una vulnerabilità nella versione Android dell’applicazione Skype di Microsoft che può essere sfruttata per accedere a varie funzioni dell’applicazione senza inserire l’autenticazione della password per sbloccare il telefono.

Florian Kunushevci, un cacciatore di insetti con sede in Kosovo che ha scoperto la vulnerabilità, ha dimostrato l’omissione in un video di YouTube (vedi sotto). Il video mostra che chiunque sia in possesso del telefono di qualcuno per ricevere una chiamata Skype può rispondere senza sbloccare il telefono.

Una volta che la persona risponde alla chiamata, può visualizzare le foto, accedere ai contatti, inviare un messaggio e accedere al browser facendo clic sui collegamenti inviati nel messaggio. Tutte queste azioni possono essere eseguite senza la necessità di sbloccare il telefono.

Kunushevci, che utilizza quotidianamente l’app Skype per Android, ha scoperto che c’era qualcosa di sbagliato nel modo in cui l’app accedeva ai file del telefono locale durante le chiamate VoIP.

“Un giorno, mentre usavo l’app, ho avuto la sensazione che sarebbe stato necessario controllare una parte che sembra darmi altre opzioni rispetto al dovuto”, ha spiegato a Registrati. “Poi ho dovuto cambiare il modo di pensare come utente normale in qualcosa che posso usare per lo sfruttamento.”

Il ricercatore ha scoperto che quando si risponde a una chiamata Skype, è possibile accedere a varie funzioni dell’app del telefono, come la condivisione di foto e la ricerca di contatti, indipendentemente dal fatto che il telefono sia bloccato o meno. In altre parole, la vulnerabilità consente a chiunque di accedere alla funzione foto e contatto senza confermare se la persona che utilizza il telefono è autenticata.

leggere  Everex ICO indica un alto potenziale di crescita

Come vari difetti iOS riscontrati nel sistema nel corso degli anni, questa vulnerabilità è dovuta a una leggera svista nella sicurezza del sistema. Kunushevci ha dichiarato: “Per il bug specifico che ho trovato in Skype, si tratta più di un cattivo design e anche di un bug nella codifica. Penso che per mettere tutto insieme, gli umani commettono errori”.

Kunushevci ha segnalato la falla di sicurezza a Microsoft in ottobre prima di rivelarla al pubblico. La vulnerabilità è stata apparentemente risolta nella versione di Skype rilasciata il 23 dicembre 2018, che è sicura da usare.

Si consiglia agli utenti di installare o aggiornare all’ultima versione dell’app Skype per Android per una maggiore sicurezza, poiché questa vulnerabilità interessa Skype su tutte le versioni di Android. Tieni presente che la patch per questo bug è inclusa in tutte le build di app Skype con un numero di versione superiore a 8.15.0.416 per diverse versioni di Android.

Microsoft non ha ancora rilasciato una dichiarazione ufficiale in merito.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *