Besoin d’espionner votre conjoint ? Vos employés ? Ce suspect qui refuse de déverrouiller son Android ? Jusqu’à récemment, c’était simple comme bonjour : vous pouviez simplement vous emparer du téléphone en question, passer un appel Skype, répondre à l’appel, puis fouiller, et ce sans mot de passe !
En octobre, Florian Kunushevci, un chasseur de bugs du Kosovo âgé de 19 ans, a signalé à Microsoft un bug Skype sur Android. L’entreprise a corrigé la faille dans la dernière version de Skype, qui est sortie le 23 décembre.
Dans un article publié sur LinkedIn, il a déclaré qu’après avoir lancé Skype au niveau du téléphone ciblé, cette vulnérabilité lui permettait d’afficher les photos, les albums, les noms et les numéros de téléphone dans la liste de contacts d’une victime, ainsi que d’accéder au navigateur du téléphone. Il a également découvert qu’il pouvait envoyer des messages à partir du téléphone, le tout sans le déverrouiller !
Voici la vidéo de la preuve de concept de Kunushevci :
Rien de tout cela n’aurait dû arriver. Un utilisateur/attaquant/voleur/espion ne doit pas avoir accès à des données telles que des photos et des contacts sans s’être authentifié via un mot de passe, un code PIN, un motif de verrouillage ou une empreinte digitale.
Kunushevci a déclaré à The Register qu’il n’était pas en train de chercher en particulier des bugs dans Skype pour Android. Il utilisait simplement l’application Voice-over-IP (VoIP) lorsqu’il a remarqué un comportement étrange dans la manière dont elle accédait aux fichiers au niveau de l’appareil. C’est à ce moment-là qu’il a commencé à investiguer pour voir comment ce bug Skype pourrait être exploité :
Un jour, en utilisant l’application, j’ai ressenti le besoin de vérifier une partie qui semblait vouloir me donner plus d’options qu’elle ne devrait. Ensuite, j’ai dû changer ma façon de penser, en passant du mode “utilisateur ordinaire” à celui me permettant d’exploiter cette vulnérabilité.
Cela ressemble à une faille iOS 9, datant de quelques années en arrière, et qui vous permettait de faire la même chose. En septembre 2015, Apple a corrigé une faille au niveau de l’écran de verrouillage qui permettait à quiconque d’afficher et de modifier vos contacts, d’envoyer des SMS et de fouiller dans vos photos, le tout sans avoir à entrer de mot de passe !
Si vous disposiez d’un appareil iOS 9 ou 9.0.1 avec Siri accessible depuis votre écran de verrouillage, vous étiez vulnérable quel que soit le type, la longueur de votre code d’accès, que vous ayez activé TouchID ou non.
Mais, des choses se passent quand vous codez, Kunushevci a déclaré :
Concernant ce bug Skype en particulier, il s’agit plutôt d’une mauvaise conception mais aussi d’un bug dans le codage. Je pense qu’au moment de tout mettre en commun, les humains peuvent faire des erreurs.
Kunushevci a déclaré que ce bug Skype sur Android affecte probablement tous les appareils Android utilisant une version de Skype non corrigée. Pour se protéger contre ce bug, les utilisateurs doivent mettre à jour leur application Skype pour Android s’ils ne l’ont pas déjà fait !
Selon les dires du chercheur, il n’aurait pas reçu de prime bug bounty, mais il devrait être mentionné dans le “hall of fame” des chasseurs de bugs Microsoft, chaque fois que celui-ci sera mis à jour.
Au fait… Saviez-vous que Sophos propose une solution de sécurité Android gratuite ? Pour en savoir plus sur Sophos Mobile Security pour Android, n’hésitez pas à visite notre site !
Billet inspiré de No Android passcode? No problem! Skype unlocked it for you, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.