En Reddit-bruker som kaller seg for Ponkers kunngjorde i forrige uke at han har funnet det som framstår som en svært alvorlig personvernsårbarhet i Skype-klienten for Android. Sårbarheten gjør det mulig å avlytte brukere som er innlogget med denne appen. Flere Reddit-brukere har bekreftet at også de har greid å utnytte sårbarheten, noe som tyder på at sårbarheten er reell.
Bare Android?
Sårbarheten ser ut til å være knyttet til en funksjon i Skype-klienten, som sørger for at forbindelsen gjenopprettes dersom den faller ut en kort periode. Problemet er at Android-versjonen av Skype tilsynelatende gjenoppretter samtalen også dersom forbindelsen faller ut før mottakeren av samtalen svarer. Det er ikke kjent om andre Skype-klienter har samme sårbarhet, men det er uklart i hvilken grad dette har blitt testet.
_logo.svg.png){kind=logo}
Ponkers skriver at han oppdaget sårbarheten ved en tilfeldighet. Det som skal til er at den som ringer er pålogget Skype på to ulike enheter. Fra én av disse enhetene ringer man til en Skype-konto hvor brukeren er pålogget med Android-klienten. Dersom den som ringer kobler vekk internettforbindelsen til enheten han ringer før Android-brukeren rekker å svare, vil Android-klienten oppfatte det hele som et avbrudd i samtalen og forsøke å ringe tilbake, men denne gang til den andre påloggede enheten til den som ringer.
Dermed er det stor mulighet for at samtalen opprettes uten at Android-brukeren merker noe, ikke minst Android-enheten er satt til «lydløs». Dermed kan den andre brukeren angivelig få tilgang til både mikrofon og kamera på Android-enheten.
Pålitelig?
Metoden er nok ikke helt pålitelig. Ponkers selv skriver at den fungerer ved omtrent hvert tredje forsøk. Digi.no har ikke fått den til å fungere. Det kan være ulike faktorer som spiller en rolle, for eksempel om også mottakeren er pålogget Skype med flere enheter på en gang.
Ifølge Ponkers har han blitt kontaktet av Microsoft om denne saken, noe han tolker som at sårbarheten vil bli fjernet etter hvert. Den nyeste Android-utgaven av Skype ble utgitt den 9. desember i år, så feilen har så langt ikke blitt rettet på klientsiden, i alle fall.
Inntil en sikkerhetsfiks eller annen form for avklaring kommer fra Microsoft-eide Skype, bør Android-brukere som har installert Skype-klienten på enheten, vurdere om de bør la klienten være avlogget, i alle fall under fortrolige møter.
