Lỗ hổng trong Skype trên Android làm lộ thông tin người sử dụng

Một lỗ hổng trong Skype cho Android cho phép kẻ tấn công không được xác thực xem ảnh và danh bạ và thậm chí mở các liên kết trong trình duyệt, một nhà nghiên cứu bảo mật đã phát hiện ra.

Được tìm thấy bởi Florian Kunushevci, một nhà nghiên cứu 19 tuổi đến từ Kosovo, lỗ hổng này đòi hỏi kẻ tấn công phải có quyền truy cập vật lý vào thiết bị mục tiêu. Tiếp theo, họ sẽ cần nhận một cuộc gọi Skype và trả lời nó, sau đó sẽ cho phép họ truy cập dữ liệu người dùng ngay cả khi thiết bị bị khóa.

Thông thường, với thiết bị bị khóa, người dùng không nên có quyền truy cập vào dữ liệu như ảnh và danh bạ mà không xác thực bằng mật khẩu, mã PIN, mẫu màn hình khóa hoặc dấu vân tay.

Tuy nhiên, Kunushevci đã phát hiện ra rằng lỗi mã trong Skype cho Android dẫn đến ứng dụng không tuân theo quy tắc, do đó cung cấp cho kẻ tấn công khả năng truy cập ảnh, xem danh bạ và thậm chí gửi tin nhắn mà không cần phải xác thực trước.

Hơn nữa, nhà nghiên cứu bảo mật trẻ tuổi phát hiện ra rằng cũng có thể khởi chạy trình duyệt trên thiết bị, trực tiếp từ Skype. Vì thế, kẻ tấn công sẽ chỉ cần gõ một liên kết trong một tin nhắn mới, gửi tin nhắn và sau đó nhấp vào liên kết.

Nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng vào tháng 10 và báo cáo ngay cho Microsoft. Công ty đã phản hồi nhanh và giải quyết vấn đề này trong một phiên bản mới của Skype được phát hành vào ngày 23 tháng 12.

Theo Kunushevci, lỗ hổng có khả năng ảnh hưởng đến tất cả các thiết bị Android sử dụng phiên bản Skype mà không có bản vá (phiên bản ứng dụng khác nhau tùy thuộc vào lần lặp Android chạy trên thiết bị).

Share This Post

Post Comment