Antivírus blog

vírusok, férgek, botnetek, kártevők

Android feloldás Skype hívással

2019. január 08. 11:24 - Csizmazia Darab István [Rambo]

Nem sikerül jogosulatlanul feloldani a másik fél Androidos telefonját? Nem gond, elég egy jól irányzott Skype hívás, és máris kikerülhető a feloldó minta, a jelszavas zárolás, az ujjlenyomat vagy éppen az arcfelismerés. A hibajavítás azóta már elérhetővé vált.

Kínos hibára bukkant egy 19 éves koszovói etikus hacker, Florian Kunushevci. Még tavaly októberben vette észre, hogy a lockolt, tehát az illetéktelenek elől elvileg lezárt telefon kinyitható oly módon, hogy ehhez egy Skype hívást kell a készülékre irányítani.

A hívás fogadása után mindenféle kód vagy jelszó nélkül is hozzá lehet férni a telefonhoz, és azon a más módszerrel nem zárolt egyes tartalmakhoz, például a felhasználó képgalériájában lévő fotókhoz, albumokhoz, a névjegyzékben szereplő név és telefonszám adatokhoz illetve a készülék böngészőjéhez is.

A sérülékenység révén még azt is elérte, hogy a készülék feloldása nélkül akár üzeneteket is tudott küldeni az adott telefonról.

A TheRegisternek azt nyilatkozta, nem vadászik kifejezetten Androidos hibákra, ezt a mostanit véletlenül vette észre, miközben VOIP kapcsolaton keresztül beszélgetett.

Felfedezéséről természetesen haladéktalanul értesítette a Microsoftot. A hiba kijavítására végül a tavaly december 23-án kiadott foltozásban került sor. Érdemes tehát frissíteni az új, 8.15.0.416 számú változatra, bár Android főverziótól függően még lehetnek további esetleges eltérések a használt Skype verzióknál is.

A meghökkentő sebezhetőségről és a kihasznált hibáról a javítófolt megjelenése után, december 31-én feltöltött egy látványos YouTube videót is.

Ebben szemléletesen demózta a furcsa jelenséget, amit sokkal inkább a rossz tervezés számlájára ír, semmint konkrét programozási hibának tart, amit valószínűleg az okozott, hogy bejövő hívás esetén a Skype közvetlenül hozzáfért a névjegy és képgaléria adatokhoz, hogy képes legyen megjeleníteni a hívó fél adatait.

A Microsoft ezúttal semmilyen jutalmat (bug bounty) nem adott a biztonsági szakembernek a hiba felfedezéséért, és nem is kommentálta bővebben a konkrét incidens részleteit.

3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr4914547324

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Szilágyi Imre 2019.01.08. 22:41:17

Kamu cikk.
Az okostelefonok biztonsági rendszerét az Android rendszer menedzseli és nem egy felhasználói program. Ezt még egy MS szoftver sem tudja megkerülni.
:)

Andy Capp 2019.01.09. 00:42:42

Nem kamu a cikk, külső forráson alapul.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2019.01.10. 00:20:05

Apropo androidos "biztonság": az vajon mennyire számít hibának, hogy az androidra telepített terminál programban futó bash alatt elengedve egy ilyet: ":(){ :|:& };:" (idézőjelek nélkül persze) annyira lefagy a rendszer, hogy még kikapcsolni sem lehet. Úgy sem, hogy hosszan nyomva tartom a power gombot...
:D

Ez ellen az android védtelen vagy csak nekem van szerencsém egy elkefélt samsung verzióhoz belőle?