Skype-Anruf kann PIN bei Android-Smartphones umgehen

Der Sicherheitsexperte Florian Kunushevci hat laut einem Bericht von 'The Register' eine Sicherheitslücke entdeckt, die es ermöglicht den PIN von Android-Smartphones zu umgehen. Die Sicherheitslücke ermöglicht es den PIN gesperrter Android-Smartphones zu umgehen und mit einem Skype-Anruf auf gespeicherte Fotos und Bilder zuzugreifen. Inzwischen wurde die Lücke von Microsoft zwar bereits geschlossen, viele Android-Smartphones verfügen aber noch nicht über das Update.

Wie in seinem Video demonstriert braucht ein Angreifer lediglich physischen Zugriff auf das Smartphone. Anschließend reicht ein von ihm getätigter Anruf über Skype aus, um mit einem Blick auf den Namen des Anrufenden in der oberen rechten Ecke auf Fotos, Bilder und Kontakte zuzugreifen, obwohl das Smartphone eigentlich gesperrt seien sollte. Wird über den Skype-Chat eine URL empfangen kann auch diese bei gesperrten Geräten angeklickt werden, was wiederum den Browser des Geräts startet. Ein Angreifer könnte so eine Webseite mit Schadcode öffnen, die ihm wiederum weiteren Zugriff auf das Smartphone ermöglicht. Außerdem können über den Browser wiederum über spezielle Links andere Apps geöffnet werden.

Update für Android 8.0 noch nicht vorhanden

Laut einem Artikel von Golem konnte der Fehler mit einem Smartphone auf dem Android 8.0 und die Skype-Version 8.36.0.52 (Stand 11. Dezember 2018) läuft reproduziert werden. Ein Update das die Sicherheitslücke schließt gab es bei dem getesteten Smartphone noch nicht. Da ein Großteil aller genutzten Android-Smartphones Android 8.0 oder noch ältere Versionen nutzen und entsprechende Updates fehlen kann die Sicherheitslücke also weiter ausgenutzt werden. Neben der Sperre per PIN sind laut Kunushevci auch Passwörter, Fingerabdrücke und die Sicherung per Gesichtserkennung von dem Fehler betroffen.