Người dùng hoàn toàn có thể không cần biết mật khẩu điện thoại Android nhưng vẫn mở được điện thoại thông qua lỗi của của Skype.
Một lỗ hổng mới được tiết lộ trong Skype trên Android có thể bị khai thác bởi những kẻ tấn công để vượt qua màn hình khóa của điện thoại Android để xem ảnh, danh bạ và thậm chí khởi chạy các cửa sổ trình duyệt.
Thợ săn lỗi Bug Kunushevci vừa qua đã công bố một lỗ hổng bảo mật mà anh đã báo cáo cho Microsoft, cho phép người sở hữu điện thoại của ai đó nhận cuộc gọi Skype, trả lời mà không cần mở khóa điện thoại, sau đó xem ảnh, tra cứu danh bạ, gửi tin nhắn và mở trình duyệt bằng cách nhấn vào các liên kết trong tin nhắn đã gửi, tất cả mà không cần mở khóa điện thoại. Điều này rất hữu ích cho những tên trộm, chơi khăm, đối tác tò mò, v.v. Đây là một video chứng minh sự bỏ qua …
Kunushevci, một nhà nghiên cứu lỗi 19 tuổi đến từ Kosovo, cho biết anh là người dùng hàng ngày của ứng dụng Skype cho Android khi nhận thấy có gì đó không ổn với cách ứng dụng VoIP truy cập các tệp trên thiết bị cầm tay. Tò mò, anh quyết định đội chiếc mũ trắng của mình lên, và nhìn kỹ hơn.
“Một ngày nọ, tôi có cảm giác khi sử dụng ứng dụng rằng cần phải kiểm tra một phần dường như cung cấp cho tôi các tùy chọn khác ngoài mức cần thiết”, Kunushevci giải thích. “Sau đó, tôi đã phải thay đổi cách suy nghĩ như một người dùng thông thường thành một thứ mà tôi có thể sử dụng để khai thác.”
Cuối cùng anh ta đã tìm thấy rằng, một khi cuộc gọi Skype đã được nhận và mở, ứng dụng hoạt động như bình thường, cho phép các tính năng như chia sẻ ảnh và tra cứu liên lạc bất kể phần còn lại của điện thoại đã được mở khóa.
Giống như các lỗ hổng iOS khác nhau được phát hiện trong nhiều năm qua, lỗi thực sự là do sự giám sát bảo mật. Trong trường hợp này, ứng dụng Skype cho phép người dùng truy cập các tính năng ảnh và liên lạc mà không cần kiểm tra trước xem người sử dụng thiết bị có được xác thực hay không.
Kunushevci nói với El Reg : “Đối với lỗi cụ thể mà tôi đã tìm thấy trên Skype, đó là một thiết kế tồi và cũng là một lỗi trong mã hóa” . “Tôi nghĩ để kết hợp tất cả lại, con người phạm sai lầm.”
Trước khi ra mắt công chúng, Kunushevci đã cảnh báo Microsoft về lỗ hổng vào tháng 10 và chờ đợi một bản vá. Lỗ hổng được khắc phục trong các phiên bản mới nhất của Skype, được ban hành vào ngày 23 tháng 12, vì vậy người dùng có thể tự bảo vệ mình bằng cách đảm bảo rằng họ đã cài đặt ứng dụng mới nhất.
Lỗ hổng ảnh hưởng đến Skype trên tất cả các phiên bản Android, theo Kunushevci. Chúng tôi lưu ý rằng phiên bản ứng dụng Skype khác nhau tùy thuộc vào phiên bản Android bạn đã cài đặt, mặc dù về cơ bản chúng tôi đã nói với các bản dựng mới của ứng dụng được cài đặt hoặc cập nhật sau Giáng sinh với số phiên bản trên 8.15.0.416 sẽ an toàn.
Mặc dù vẫn còn là một thiếu niên, Kunushevci nói rằng anh ta đã có nhiều năm kinh nghiệm trong nghiên cứu bảo mật. Bắt đầu từ năm 12 tuổi, anh bắt đầu quan tâm đến lý do máy tính của mình bị hỏng và bắt đầu tìm kiếm các nguyên nhân khác nhau của lỗi bảo mật và ổn định chung. Trong một vài năm, anh ta đã yêu cầu tiền thưởng lỗi của riêng mình.
“Tôi bắt đầu làm việc trong Bug Hunting khi tôi 15 tuổi cố gắng tìm các lỗ hổng web cho Microsoft, Apple, Dell, Intel, Adobe, Eset, Github và các công ty khác mà tôi đã sử dụng để đạt được trạng thái Hall of Fame và áo phông để thúc đẩy bản thân và học hỏi những điều mới, “anh nói.
“Sau một vài năm phát triển, tôi bắt đầu làm việc trên CTF (Boot2Root), điều này đã dạy cho tôi điều quan trọng nhất, đó là nhận ra rằng những gì bạn đã học cho đến bây giờ không phải là điều nên học.”
Người phát ngôn của Microsoft hiện vẫn chưa đưa ra lời phát ngôn về vụ việc hiện tại