Skype maakt schermbeveiliging Android waardeloos

Een vingerafdruksensor, gezichtsherkenning, een patroon of een pincode: allemaal zijn ze machteloos om je gevoelige bestanden op een Androidtelefoon te beschermen wanneer je Skype hebt geïnstalleerd.

Skype laat iedereen met je telefoon in de hand toe om aan de gevoelige data binnenin te raken, zonder dat ze de telefoon daarvoor moeten ontgrendelen. Het volstaat dat de inbreker in spe je kan bereiken via Skype. Dat ontdekte de jonge Kosovaarse beveiligingsonderzoeker Florian Kunushevci. De kwetsbaarheid is eigenlijk erg opvallend, waardoor het enigszins verrassend is dat ze nu pas aan het licht komt.

Concreet laat Skype je toe om een gesprek aan te nemen zonder dat de telefoon daarvoor ontgrendeld moet worden, net als WhatsApp of de klassieke telefoon-app. Wie het toestel van een doelwit in handen heeft, kan zelf bellen en dan zelf opnemen. Vervolgens beginnen de problemen.

Ontgrendelen met Skype

Skype voert geen check uit na het opnemen, en laat je niet enkel toe om te telefoneren maar biedt zijn volledige functionaliteit aan. Die is best uitgebreid, en laat je toe om onder andere naar de galerij te gaan en foto’s te bekijken, contactgegevens te lezen en zelfs webpagina’s te openen in nieuwe browservensters. Skype functioneert kortom alsof het draait op een ontgrendelde telefoon.

In onderstaande video demonstreert Kunushevci wat Skype precies toelaat.

De kwetsbaarheid valt niet uit te buiten vanop afstand. Onder de vermoedelijke ‘aanvallers’ vind je dus eerder collega’s of jaloerse echtgenotes, maar als je contactgegevens op het vergrendelscherm staat kan eigenlijk iedereen die je telefoon ergens vindt er mee aan de slag.

“Eigenlijk gaat het hier niet zozeer om een bug, maar eerder om slecht design”, zegt Kunushevci in een interview aan The Register. Het is frappant dat een app als Skype, per slot van rekening toch geen hobbyproduct, een dergelijke kwetsbaarheid bevat. Het is niet de eerste keer dat Skype onder vuur komt te liggen omwille van problemen met de beveiliging.

Updaten en voorzichtig zijn

Wie een Androidtelefoon bezit, hoeft gelukkig geen drastische actie te ondernemen. Het volstaat om de Skype-app te updaten naar de meest recente versie. De beveiligingsonderzoeker heeft Microsoft immers op de hoogte gebracht van het probleem voor hij het aan het grote publiek bekend maakte.

De kwetsbaarheid toont wel aan hoe kwetsbaar telefoons kunnen zijn als programmeurs zich even vergissen bij het bouwen van een app die je vertrouwt. Wie gevoelige documenten op zijn toestel bewaart, kan zich hier proactief tegen wapenen door een smartphone te kiezen die een extra beveiligingsenclave ondersteunt. Denk bijvoorbeeld aan Samsung Knox, dat altijd extra authenticatie vereist voor het toegang verleent tot de apps en data in zijn digitale kluis. Afhankelijk van de manier waarop ze zijn ingesteld kunnen mobile device management-diensten als MobileIron ook soelaas bieden.