Nova vulnerabilidade permite que usuários contornem o código de bloqueio do telefone usando uma chamada do Skype

Uma nova vulnerabilidade foi descoberta no Skype que permite aos usuários acessar os dados do telefone sem realmente digitar a senha do telefone. A vulnerabilidade afeta o Skype no Android e permitirá que os usuários visualizem fotos, contatos e até iniciem janelas do navegador.

O bug foi detectado pela primeira vez por Florian Kunushevci, que por sua vez o relatou à Microsoft. O caçador de bugs disse que a falha permite que a pessoa em posse do telefone receba uma chamada do Skype, atenda e, em seguida, visualize fotos, procure contatos, envie uma mensagem e abra o navegador tocando em links em uma mensagem enviada, tudo sem nunca desbloquear o telefone.

Um dia, ao usar o aplicativo, tive a sensação de que deveria haver a necessidade de verificar uma parte que parece me dar outras opções do que deveria. Então eu tive que mudar a maneira de pensar como um usuário comum em algo que eu possa usar para exploração. Para o bug específico que encontrei no Skype, é mais um design ruim e também um bug na codificação. Acho que para colocar tudo junto, os humanos cometem erros.

– Florian Kunushevci

Ele notificou a Microsoft sobre o bug em outubro e esperou o lançamento do patch antes de ir a público. A Microsoft não divulgou uma declaração oficial sobre o bug, mas o problema foi corrigido na versão mais recente do Skype.

via: O registro