Un moderatore del noto forum XDA Developers ha scoperto una grave vulnerabilità nell’app Skype per Android. Il bug potrebbe consentire ad un malintenzionato di bypassare facilmente il lock screen del dispositivo, senza inserire nessun codice di sblocco. Fortunatamente l’exploit che sfrutta la falla di sicurezza non è semplice da mettere in pratica. In ogni caso, è fortemente consigliata l’installazione di Skype 4.0, rilasciata il 1 luglio. La versione vulnerabile è infatti la 3.2.0.6673.
Non è la prima volta che un simile bug colpisce il sistema operativo mobile più diffuso al mondo. A fine aprile, anche per Viber, un diretto concorrente di Skype, era stato riscontrato lo stesso problema. Il client VoIP estone (ora di proprietà Microsoft) è certamente molto più utilizzato. Secondo l’azienda, l’app è installata su oltre 100 milioni di dispositivi. Pulser, un moderatore del forum XDA Dveelopers, è riuscito a riprodurre la vulnerabilità su tre smartphone Android (Sony Xperia Z, Samsung Galaxy Note 2 e Huawei Premia 4G).
Per eseguire l’attacco, sono necessari due dispositivi e due account Skype. Lo smartphone “vittima” deve avere il lock screen attivato. Questi sono i passi da seguire per mettere in pratica l’exploit:
- Si avvia una chiamata Skype verso il device target, che visualizzerà un prompt sul display per rispondere o rifiutare la chiamata
- Si accetta la chiamata sul dispositivo target, usando il pulsante verde di risposta
- Si chiude la chiamata sullo smartphone che l’ha avviata
- Il dispositivo target chiuderà la chiamata e mostrerà il lock screen
- Si spegne il device usando il pulsante Power e si accende di nuovo
A questo punto, il lock screen verrà bypassato e il bug rimarrà attivo finché l’utente non esegue un reboot. La vulnerabilità non può essere riprodotta su qualsiasi dispositivo, in quanto dipende dalla versione del firmware ed eventualmente dalla ROM installata.