Skype: Solo se necesita una llamada para desbloquear un teléfono Android

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Un cazador de errores de 19 años ha identificado una falla en la versión de Android de la aplicación Skype de Microsoft

Dicho error puede ayudar al atacante a acceder a varias funciones de la aplicación sin necesidad de pasar por la verificación del código de acceso para desbloquear el teléfono. Una vez que el teléfono está desbloqueado, el atacante puede ver todo, desde contactos hasta fotos, enviar mensajes SMS y también puede abrir las ventanas del navegador.

Florian Kunushevci, el cazador de errores que identificó la vulnerabilidad (CVE-2019-0622), afirma que una persona que posee un teléfono Android puede recibir una llamada de Skype sin siquiera desbloquear el teléfono, además de acceder a otros datos.

Esta falla ayudará a los bromistas, a los actores de amenazas maliciosas y a los ladrones de identidad, ya que tiene un gran potencial de explotación.

Kunushevci identificó la falla mientras estaba usando la aplicación de Skype para Android y descubrió algo inusual en la forma en que la aplicación accedía a los archivos locales en el teléfono mientras hacía llamadas VoIP.

“Un día, al usar la aplicación, tuve la sensación de que debería haber una necesidad de verificar una parte que parece darme otras opciones de las que debería. Luego tuve que cambiar la forma de pensar como usuario regular en algo que pueda usar para la explotación”, señaló Kunushevci.

Kunushevci, radicado en Kosovo, también demostró el método en un video de YouTube que muestra cómo una persona que posee un teléfono Android puede recibir una llamada de Skype sin desbloquear el teléfono.

Existe un enlace entre la llamada de Skype y el desbloqueo del teléfono porque tan pronto como se recibe la llamada, la persona puede acceder fácilmente a todos los datos almacenados en el teléfono.

Kunushevci comentó que cuando respondió a una llamada de Skype, varias funciones de la aplicación del teléfono, como compartir fotos y contactos, se hicieron accesibles a pesar del hecho de que el teléfono estaba bloqueado.

La razón es una pequeña falla en la seguridad del sistema, que Kunushevci afirma que es “más de un mal diseño y también un error en la codificación.

Si ha leído esta nota, quizás sería buena idea confirmar que Usted cuenta con la última versión parchada de Skype.

 

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris