Skype for Android で新たに公開された脆弱性が悪意のある人物によって悪用され、Android スマートフォンのパスコード画面をバイパスして写真や連絡先を表示したり、ブラウザ ウィンドウを起動したりされる可能性があります。
バグハンターのフロリアン・クヌシェフチ氏は本日、The Register紙に対し、Microsoftに報告されたセキュリティ上の欠陥について語った。この欠陥により、他人の携帯電話を所持している人は、Skype通話を受け、端末のロックを解除することなく応答し、その後、写真の閲覧、連絡先の検索、メッセージの送信、そして送信済みメッセージ内のリンクをタップしてブラウザを開くといった操作を、すべて携帯電話のロックを解除することなく実行できるという。これは、窃盗犯、いたずら好き、詮索好きなパートナーなどにとって都合が良い。このバイパス方法を示す動画はこちら…
YouTubeビデオ
コソボ出身の19歳のバグ研究者、クヌシェフチ氏は、Android版Skypeアプリを日常的に使用していたが、VoIPアプリが端末上のファイルにアクセスする方法に何かおかしいことに気づいたという。好奇心から、彼は善意で調査に乗り出し、詳しく調べてみることになった。
「ある日、アプリを使っている時に、本来あるべきではない選択肢を提示している部分を確認する必要があると感じました」と彼は説明した。「そこで、一般ユーザーとしての考え方を、エクスプロイトに使えるものへと変えなければなりませんでした。」
彼が最終的に発見したのは、Skype 通話を受信して開くと、アプリケーションは通常どおり機能し、携帯電話の残りの部分がロック解除されているかどうかに関係なく、写真の共有や連絡先の検索などの機能が可能になるということだった。
長年にわたり発見されてきた様々なiOSの脆弱性と同様に、このバグはセキュリティ上の不備が原因です。今回のケースでは、Skypeアプリは、デバイスの使用者が認証済みであるかどうかを事前に確認することなく、写真や連絡先機能にアクセスできてしまいます。
OneDriveのSkype統合が開始…ヨーロッパでOneDriveがダウン
続きを読む
「Skypeで私が発見した特定のバグに関しては、設計の欠陥とコーディングのバグが主な原因です」とクヌシェフチ氏はエル・レグ紙に語った。「総合的に見て、人間はミスを犯すものだと思います。」
クヌシェフチ氏は、この脆弱性を公表する前に10月にマイクロソフトに警告し、パッチのリリースを待っていました。この脆弱性は12月23日にリリースされた最新バージョンのSkypeで修正されているため、ユーザーはアプリの最新ビルドをインストールすることで、自身を守ることができます。
バグハンターによると、この脆弱性はAndroidの全バージョンのSkypeに影響するとのこと。SkypeアプリのバージョンはインストールされているAndroidのバージョンによって異なりますが、基本的にクリスマス以降にインストールまたはアップデートされたバージョン8.15.0.416以上のアプリは安全だと言われています。
まだ10代であるにもかかわらず、クヌシェフチ氏はすでに数年のセキュリティ研究の経験を積んでいると言います。12歳の頃から、自分のコンピュータがクラッシュする理由に興味を持ち、一般的なセキュリティと安定性の欠陥の様々な原因を調べ始めました。数年後には、自らバグ発見の報奨金制度を申請するようになりました。
「私は15歳のときからバグハンティングの仕事を始め、マイクロソフト、アップル、デル、インテル、アドビ、Eset、GitHubなどの企業のウェブの脆弱性を見つけようとしていました。その活動を通じて、私は殿堂入りのステータスを獲得し、Tシャツを手に入れ、自分を宣伝し、新しいことを学ぶことができました」と彼は語った。
「数年の開発を経て、CTF(Boot2Root)の作業を始めました。そこで最も重要なことを学びました。それは、これまで学んできたことは学ぶべきこととは全く違うということに気付いたことです。」
マイクロソフトの広報担当者は直ちにコメントを得られなかった。®
