Enviado por fredyavila2 el Vie, 04/01/2019 - 16:15
skype

Un investigador ha logrado demostrar que es posible explotar una falla de diseño en la aplicación Skype de Microsoft con lo cual logra permitir el acceso a los datos en su teléfono Android sin autenticación de contraseña.

Florian Kunushevci, cazador de bugs de Kosovo, demuestra cómo Skype puede ser manipulado para acceder a datos privados, incluidas fotos en el teléfono, sin desbloquear el teléfono. Todo lo que uno tiene que hacer es obtener acceso físico al teléfono y responder a una llamada de Skype. Desde allí, el usuario puede acceder a la información de contacto, así como a la galería de fotos a través de la función para compartir archivos de la aplicación.

"Un día, durante el uso de la aplicación, tuve la sensación de que debería haber una necesidad de verificar una parte que parece darme otras opciones de las que debería", explicó a The Register. " Luego tuve que cambiar la forma de pensar como usuario regular en algo que puedo usar para la explotación".

Si bien la falla podría tentar a un cónyuge sospechoso a mirar a través del teléfono de su pareja, es más una supervisión de diseño que cualquier otra cosa. El mismo Kunushevci dice a la publicación: “Para el error específico que he encontrado en Skype, es más un mal diseño y también un error en la codificación. Creo que, para ponerlo todo junto, los humanos cometen errores ".

Como era de esperarse, Kunushevci alertó a Microsoft sobre el error y esperó a que la compañía corrigiera el error antes de que lo revelara. Eso no significa que aún no pueda ser explotado. Cualquier persona que no haya actualizado su aplicación de Skype para Android en más de un mes está en riesgo. Solo las últimas versiones de Skype, emitidas el 23 de diciembre, son seguras de usar. Y debido a que las versiones de Skype difieren entre las versiones de Android, todos deben estar seguros de estar en un número de versión superior a 8.15.0.416.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila