Kwetsbaarheid in Skype maakt omzeilen vergrendelscherm Android mogelijk

Er was sprake van een bug in Skype die ervoor zorgde dat de beveiliging van Android eenvoudig te omzeilen was. Het gaat om de combinatie van “slecht ontwerp en een bug”, waardoor het vergrendelscherm van Android te omzeilen viel door het beantwoorden van een Skype-oproep.

Dat meldt de negentienjarige bughunter Florian Kunushevci tegenover The Register. De bughunter ontdekte het probleem in de loop van 2018 en meldde het in oktober bij Microsoft. Dat heeft de bug sindsdien opgelost. Vanaf versie 8.15.0.416 is het probleem helemaal voorbij, maar eerdere versies van Skype hebben het nog.

Kinderlijk eenvoudig

De bug maakt het mogelijk om het vergrendelscherm van Android te omzeilen. Dat blijkt kinderlijk eenvoudig. Als een telefoon van een van de oudere versies van Skype voorzien is, hoeft het toestel enkel gebeld te worden. Vervolgens kan de persoon het gesprek opnemen en blijkt de telefoon ineens ontgrendeld. Het is mogelijk om foto’s te bekijken, contacten op te zoeken, berichten te versturen en de browser te openen.

Het is overigens niet zo dat het hele systeem open komt te liggen; het gaat om de delen die toegankelijk zijn via de Skype-app. De browser in een telefoon kan dus enkel geopend worden als er op een linkje binnen de Skype-app geklikt wordt. De kwetsbaarheid heeft invloed op Skype op alle versies van Android, stelt de bughunter.

Volgens Kunushevci komt het probleem uiteindelijk neer op een simpele fout in het ontwerp van de app, maar ook een kleine bug in de code. “De bug die ik in Skype gevonden heb, komt vooral neer op slecht ontwerp en een bug in de code. Al met al denk ik dat mensen gewoon fouten maken”, aldus de bughunter.

Het is niet bekend hoe lang de kwetsbaarheid in de app stond en of deze uitgebuit is.