Android版Skypeに「パス入力なしでスマホ内部にアクセスできる」脆弱性が発見される

by Sam Azgor

Microsoftが提供するインターネット電話サービスのSkypeは、世界中に多くのユーザーを抱える人気サービスとなっています。SkypeはAndroid版のアプリも提供されていますが、「Android版Skypeで通話をかけるだけでスマートフォンのロックをほぼ解除できてしまう」という脆弱性を、コソボに住む19歳のバグ研究者であるFlorian Kunushevciさんが発見しました。

Can't unlock an Android phone? No problem, just take a Skype call: App allows passcode bypass • The Register
https://www.theregister.co.uk/2019/01/03/android_skype_app_unlock/

Kunushevci氏はAndroid版Skypeを日常的に使っていましたが、ある日「Android版Skypeを使ってパスコードを入力することなく、スマートフォン内部のファイルにアクセスできる方法がありそうだ」と気がつきました。そこでわずか19歳でありながらバグハンターとして活動してきたKunushevci氏は、本格的にAndroid版Skypeの脆弱性について調査したとのこと。

実際にKunushevci氏がSkypeアプリの脆弱性を突いてAndroidスマートフォン内部のファイルにアクセスし、ブラウジングまで行う様子を撮影したムービーがこれ。

Skype Android Authentication Bypass

画面に映っているのは、ロックがかかったままのAndroidスマートフォン。

そこにSkypeの通話がかかってきます。

Kunushevci氏は通話に応じ……

画面左上に表示された通話相手の名前の部分をタップ。

メッセージを送信するオプションをタップ。

メッセージの送信画面から「メディア」をタップすると……

スマートフォン内部のメディアにアクセスできました。ここまでの操作でKunushevci氏はスマートフォンのロックを解除しておらず、Skypeの通話に応答するだけでスマートフォン内部のファイルにアクセスできてしまうようです。

さらにメッセージ送信フォームからGoogleのURLを入力すると……

Googleの検索画面が開きました。

メニューアイコンをタップすると、Googleアカウントでログイン可能なウェブサービスにもアクセスできるようになっています。

Kunushevci氏は「人間は誰でも過ちを犯します」と述べ、今回のバグはアプリのデザインとコーディング上のミスだったとしています。このバグは公にされる前の2018年10月にMicrosoftへ報告され、2018年12月23日に行われたAndroid版Skypeアプリのバージョンアップで修正されています。