- A+
似乎最近的Skype更新修复了这个漏洞
国际网络安全研究所的网络安全和道德黑客专家报告了Android版Skype的缺陷,可以利用它绕过Android设备的访问代码输入来访问文件,联系人,甚至打开设备的浏览器。
漏洞赏金猎人Florian Kunushevci提到,这个漏洞将允许拥有Android智能手机的人接收Skype电话,无需解锁设备即可接听,甚至可以访问照片,搜索联系人列表,发送短信和如果附加了任何页面的链接,甚至可以打开浏览器。 任何人都可以利用此漏洞,无论是家人,朋友还是陌生人。 该漏洞已经向微软报道。
来自科索沃的年轻研究员Kunushevci声称自己是Skype for Android的普通用户。 在此常规使用过程中,他在应用程序中检测到与访问存储在智能手机中的文件的方式相关的异常行为。 注意到这一点,调查人员决定启动一个小型道德黑客攻击项目,以了解Skype服务发生了什么。
“最近,当我使用该应用程序时,我觉得有必要检查一个明显可以获得更多许可的选项,”年轻的网络安全专家说。
Kunushevci发现,当应答Skype呼叫时,应用程序继续其正常操作,允许诸如访问电话文件或搜索联系人之类的操作,无论在接收到呼叫时电话是否被阻止。
就像多年来在iOS系统中发现的多个漏洞一样,这个漏洞是由于对系统安全性的轻微疏忽造成的。 在这种情况下,Skype允许用户通过省略任何额外的身份验证步骤来访问其他功能。 “我认为这个漏洞是一个设计缺陷,”专家提到。
在发布任何漏洞报告之前,Kunushevci向微软报告了该漏洞,等待该公司发布更新以纠正此漏洞。 根据网络安全专家的报告,这将在去年12月23日的Skype更新中得到纠正。根据Kunushevci的说法,该漏洞会影响所有版本的Skype for Android。 但是,漏洞的范围似乎取决于操作系统的版本。
尽管只有19岁,但Kunushevci声称拥有多年研究这些问题的经验。 正如他所提到的那样,他的兴趣始于12岁,当时他正在寻找解决PC上常见缺陷的解决方案。 几年后,他已经完全专注于漏洞研究领域,为他的报告获取一些赏金计划。
