Un bogue de Skype permet de contourner le verrouillage d’Android

Une vulnérabilité de sécurité de Skype pour Android peut être exploitée pour passer outre l’écran de verrouillage d’Android et accéder aux photographies, aux contacts, envoyer des messages et même lancer un navigateur sur un appareil mobile Android (en cliquant sur un hyperlien dans un message) : il suffit de répondre à un appel Skype.

Le bogue ressemble à une vulnérabilité récurrente sur iOS : l’application, ici Skype, ne vérifie pas qu’un utilisateur est authentifié avant de lui donner accès aux informations.

La vulnérabilité a été découverte par Florian Kunushevci, un Kosovar de 19 ans, qui a respecté les règles d’éthique des chercheurs en sécurité : il a alerté Microsoft en secret en octobre, et a attendu la publication d’un correctif de sécurité dans la dernière version de Skype, du 23 décembre 2018, avant de la dévoiler.

On lui souhaite de recevoir une récompense financière de Microsoft dans le cadre de ses programmes de chasse aux bogues.

Pour se protéger, il suffit donc de mettre à jour sa version de Skype sur tout appareil Android.