Недавно обнаруженная уязвимость в Skype для Android может быть использована злоумышленниками для обхода экрана блокировки на смартфонах, работающих под управлением Android. Она позволяет просматривать фотографии, контакты и даже запускать браузер, получая доступ к сайтам с введёнными пользователем паролями.
19-летний специалист по безопасности из Косово Флориан Кунушевци (Florian Kunushevci) рассказал The Register, что уязвимость в системе безопасности, о которой Microsoft уже в курсе, позволяет человеку, владеющему чьим-либо телефоном, принять вызов по Skype, ответить на него, не разблокируя телефон, а затем через мессенджер просматривать фотографии, контакты, отправлять сообщения и открывать браузер. Это удобно для воров, шутников, любопытных знакомых и так далее. Вот видео, демонстрирующее наглядно эту уловку:
По словам господина Кунушевци, он использовал Skype для Android повседневно, но однажды заметил его странное поведение при доступе к файлам на смартфоне. С любопытством он решил внимательнее присмотреться к проблеме. Ему пришлось взглянуть на работу приложения с точки зрения злоумышленника и попытаться воспользоваться открывающимися возможностями.
В итоге он обнаружил, что для доступа к массе информации на заблокированном чужом аппарате достаточно знать лишь контакт человека в Skype — мессенджер после звонка позволяет на любой версии Android получать доступ к функциям фотографий, контактов и встроенному браузеру без предварительной идентификации. Флориан Кунушевци проинформировал Microsoft о проблеме, после чего 23 декабря компания выпустила новую версию Skype без уязвимости. Так что для защиты от такого «взлома» следует просто обновить ПО до версии 8.15.0.416 или более поздней.