Hacker descobre falha em App no Android que permite bypass passcode

Uma vulnerabilidade recém-divulgada no Skype para Android pode ser explorada por descuidos para ignorar a tela de senha de um telefone Android para visualizar fotos, contatos e até mesmo iniciar janelas do navegador.

O caçador de bugs Florian Kunushevci disse que a falha de segurança, que foi reportada à Microsoft, permite que a pessoa na posse do telefone receba uma chamada pelo Skype, atenda sem desbloquear o celular e veja fotos, procure contatos, Envie uma mensagem e abra o navegador tocando nos links de uma mensagem enviada, tudo sem nunca desbloquear o telefone. Isso é útil para ladrões, brincalhões, parceiros curiosos e assim por diante. Aqui está um vídeo demonstrando o desvio …

Kunushevci, um pesquisador de bugs de 19 anos do Kosovo, disse que ele era um usuário comum do aplicativo Skype for Android quando percebeu que algo parecia estar errado com a maneira como o aplicativo VoIP acessava arquivos no aparelho. Curioso, ele decidiu colocar o chapéu branco e olhar mais de perto.

“Um dia tive a sensação, ao usar o aplicativo, de que deveria haver a necessidade de checar uma parte que parece me dar outras opções do que deveria”, explicou. “Então eu tive que mudar a maneira de pensar como usuário comum em algo que eu possa usar para exploração.”

O que ele acabou descobrindo foi que, uma vez que uma chamada do Skype foi recebida e aberta, o aplicativo funciona normalmente, permitindo recursos como compartilhamento de fotos e pesquisas de contatos, independentemente de o restante do telefone estar desbloqueado.

Muito parecido com as várias falhas do iOS identificadas ao longo dos anos, o erro é realmente um descuido de segurança. Nesse caso, o aplicativo do Skype permite que os usuários acessem as funções de foto e contato sem primeiro verificar se a pessoa que está usando o dispositivo foi autenticada.

“Para o bug específico que eu encontrei no Skype, é mais um projeto ruim e também um erro na codificação”, disse Kunushevci ao El Reg . “Eu acho que para juntar tudo isso, os humanos cometem erros.”

Antes de ir a público, Kunushevci alertou a Microsoft para o buraco em outubro e esperou por um patch para pousar. A vulnerabilidade foi corrigida nas versões mais recentes do Skype, emitidas em 23 de dezembro, para que os usuários possam se proteger, garantindo a instalação mais recente do aplicativo.

A vulnerabilidade afeta o Skype em todas as versões do Android, de acordo com o caçador de bugs. Observamos que a versão do aplicativo do Skype difere dependendo de qual versão do Android você instalou, embora essencialmente nos seja dito que novas versões do aplicativo instaladas ou atualizadas após o Natal com um número de versão acima de 8.15.0.416 sejam seguras.

Embora ainda adolescente, Kunushevci diz que já tem vários anos de experiência em pesquisa de segurança. A partir dos 12 anos, ele se interessou pelas razões de seu próprio computador travar e começou a pesquisar as várias causas de falhas comuns de segurança e estabilidade. Dentro de alguns anos ele estava reivindicando recompensas de insetos de sua autoria.

“Comecei a trabalhar na caça de bugs quando tinha 15 anos tentando encontrar vulnerabilidades na web para Microsoft, Apple, Dell, Intel, Adobe, Eset, Github e outras empresas, que eu costumava ganhar status de Hall of Fame e camisetas em para me promover e aprender coisas novas “, disse ele.

“Depois de alguns anos de desenvolvimento, comecei a trabalhar em CTFs (Boot2Root), que me ensinou a coisa mais importante, que é perceber que o que você aprendeu até agora não é nada do que deve ser aprendido.”

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.