Pewien użytkownik Reddita odkrył bardzo niepokojący błąd obecny w konfiguracji Skype + Android. Można w bardzo prosty sposób zmusić cudzego Skype’a do wykonania konkretnego połączenia użytkownika, uzyskując dostęp do kamery i mikrofonu ofiary.
Czasem przypadek sprawia, że odkrywane są dziwne zachowania popularnych aplikacji. W tym wypadku odkrycie jest bardzo niepokojące, ponieważ może prowadzić do bardzo poważnego naruszenia prywatności użytkownika. Trudno wyobrazić sobie gorszą wpadkę.
Przerwane połączenie
Scenariusz ataku jest bardzo prosty. Przede wszystkim wygląda na to, ze podatne są wyłącznie smartfony pracujące pod kontrolą Androida z aktywną usługą Skype’a. W pierwszym kroku atakujący uruchamia Skype’a na swoim telefonie oraz komputerze. W drugim kroku atakujący dzwoni do ofiary i od razu po usłyszeniu pierwszego dzwonka odłącza telefon od sieci. W trzecim kroku telefon ofiary sam wykonuje połączenie do atakującego, które wystarczy odebrać na komputerze.
Prawdopodobną przyczyną istnienia takiej anomalii jest błąd w funkcji nawiązywania przerwanego połączenia. W przypadku trwającej, zerwanej rozmowy, strona, która nadal posiada łączność próbuje nawiązać połączenie z drugą stroną. W tym jednak przypadku aplikacja nie zauważa, że do zestawienia połączenia jeszcze nie doszło i próbuje je przywrócić. Według niektórych Redditorów błąd nie występuje w Skype na iPhonie, jednak wiele osób potwierdza występowanie błędu w wersji na Androida. Podobno nie w każdej próbie udaje się uzyskać pożądany (czy tez raczej niepożądany) efekt, ale średnio 1 na 3 kończy się połączeniem zwrotnym.
Próbowaliśmy odtworzyć błąd kilkadziesiąt razy, jednak bez powodzenia. Testowaliśmy urządzenia z oprogramowaniem fabrycznym w wersji 4.4.2 oraz CyanogenMod 10.2 z wykorzystaniem sieci WiFi. Mimo negatywnego wyniku naszego testu rekomendujemy odinstalowanie Skype’a z Androidów do czasu wyjaśnienia sprawy.
Komentarze
reddit – oczywiście, że nie działa
reddit to prawie jak wyk*p tyle że nie obrażają JP2
Jakie szczęście, 40 minut temu wyinstalowalem Skype z telefonu. Mój kolega miał taką sytuację, rozmawia (dopiero się połączyli) z inną osobą. W tym samym momencie zadzwonil inny znajomy do niego. Na komputerze mial aktywną rozmowę z tym pierwszym, na telefonie z drugim. Co ciekawe, telefon sam odebrał drugie połączenie. O dwóch połączeniach zorientował się dopiero gdy drugi znajomy napisał mu że go słabo słychać.
Ja miałem kiedyś taką sytuacje na stacjonarnym , później chciałem oddzwonić do tego drugiego i odebrał modem ;D
Pamietam że na GG można było robić podobny myk, ale tam nie trzeba było błedu. Wystarczyło rozmawiać z kimś na czacie i mieć dodanego kogoś do kontaktów. Wystarczyło zadzwonić i szybko dodać kilka wpisów, żeby ukryć ikonkę połaczenia i już mogliśmy kogoś podsłuchiwać.
Potwierdzam sytuacja miała miejsce u mnie kilka razy, Skype oddzwania do osoby próbującej się połączyć, gdy nastąpi przerwa w dostępie do Internetu podczas próby połączenia. Osłupiałem gdy w tablecie usłyszałem hallo, hallo, okazało się że tablet sam wykonał połączenie po odzyskaniu dostępu do internetu. Temat był wielokrotnie wałkowany i potwierdzony przez wiele osób na community.skype.com jednak odpowiedzi ze strony Microsoftu nikt się nie doczekał. Opisana była historia dziewczyny która odebrała połączenie od swojego chłopaka, w słuchawce usłyszała odgłosy uprawiania seksu.
Miałem tak często. Rozmawiałem z dziewczyną na skype. Ja na PC ona tablet. Poszła pod prysznic biorąc go se sobą. Rozłączyła się i jakiś 5 minutach sama do mnie zadzwoniła i się dowiedziałem, że posiada talent wokalny :)
Na każdy telefon można wbić się przez backdory i nie ważna czy jest to amerykański soft, czy chiński. Zdziwilibyście się jakie informacje można w ten sposób pozyskać. Mój kumpel bał się tego do tego stopnia, że wlutował mikrofon z laptopa i zakleił kamerkę. Osobiście myślę, że my szaraczki nie mamy się czego obawiać, ale warto być świadomym tego i nie robić sobie np. kompromitujących zdjęć.
Jesli chodzi o ten błąd, to odkryłem jak go 'przeprowadzić’. Należy spamować rozmowę (zaznaczyć ofiarę, najlepiej skrótem klawiszowym CTRL+R), a następnie po prostu 'odebrać rozmowę od ofiary’.. takim sposobem podsłuchuję czasem moich kolegów xD
Pozdrawiam!
Pamiętam, że kiedyś przypadkiem „udało się” mi taki atak wykonać – chciałem zadzwonić do swojej znajomej, ale po pierwszym „dzwonku” zmieniłem zdanie. Jako, że nie była wtedy zalogowana na laptopie bądź ten był wyłączony, jej telefon automatycznie „oddzwonił” do mnie i byłem w stanie podsłuchiwać jej prywatną rozmowę ze znajomym. Kamera nie działała.
Wydarzyło to się gdzieś w marcu zeszłego roku, czyli problem nie jest nowy. Z tego co pamiętam to jej telefon to Google Nexus 4.
wywaliłem skypa ze wszystkich użądzeń po wkręceniu nam się do rozmowy cwaniak udawał że zna osobę z którą rozmawiałem i zna osobę o której mówimy .