La empresa mencionó que ya está disponible una solución para esta falla
Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad en la versión para Android de Skype, la cual podría ser explotada para omitir el ingreso del código de acceso de un equipo Android para acceder a archivos, contactos, e incluso abrir el navegador del dispositivo.
Florian Kunushevci, un cazador de recompensas experto en ciberseguridad, mencionó que esta vulnerabilidad permitiría a las personas en posesión del smartphone recibir llamadas de Skype, responderlas sin necesidad de desbloquear el equipo, e incluso acceder a fotos, buscar en la lista de contactos, enviar mensajes de texto, e incluso abrir el navegador si se encuentra un mensaje con un enlace a cualquier página. Cualquiera podría explotar esta vulnerabilidad, ya sean familiares, amigos o desconocidos. La falla ya ha sido reportada a Microsoft.
Kunushevci, un joven investigador originario de Kosovo, afirma ser un usuario regular de Skype para Android. Fue durante este uso rutinario que detectó un comportamiento anómalo en la aplicación relacionado con la forma en la que ésta accede a los archivos almacenados en el smartphone. Al percatarse de esto, el investigador decidió comenzar un pequeño proyecto de hacking ético para descubrir qué ocurría con el servicio de Skype.
“Recientemente, mientras usaba la aplicación, sentí la necesidad de revisar una opción que, al parecer, concedía más permisos de los que debería”, mencionó el joven experto en ciberseguridad.
Kunushevci descubrió que, cuando se contesta una llamada por Skype, la aplicación sigue con su funcionamiento normal, permitiendo acciones como acceso a los archivos del teléfono o búsqueda de contactos, sin importar si el teléfono se encontraba bloqueado o no cuando la llamada fue recibida.
Al igual que múltiples errores encontrados en el sistema iOS, esta vulnerabilidad se debe a un ligero descuido en la seguridad del sistema. En este caso, Skype permite a los usuarios acceder a otras funciones omitiendo cualquier paso adicional de verificación de identidad. “Creo que esta vulnerabilidad es más bien una falla de diseño”, menciona el experto.
Antes de publicar cualquier informe de la vulnerabilidad, Kunushevci informó del error a Microsoft, esperando que la empresa lanzara una actualización para corregir esta falla. Según reportes de expertos en ciberseguridad, ésta habría sido corregida en la actualización de Skype del 23 de diciembre pasado. El error afecta todas las versiones de Skype para Android, según Kunushevci. Sin embargo, el alcance de la vulnerabilidad parece variar según la versión del sistema operativo.
A pesar de tener sólo 19 años, Kunushevci afirma tener varios años de experiencia en la investigación de estos temas. Según ha mencionado, su interés comenzó desde los 12 años, cuando buscaba soluciones para fallas comunes en su PC. Un par de años después, ya se encontraba plenamente enfocado en el campo de la investigación de vulnerabilidades, accediendo a algunas recompensas por sus reportes.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
