Kínos hibára bukkant egy 19 éves koszovói etikus hacker, Florian Kunushevci. Még tavaly októberben vette észre, hogy a lockolt, tehát az illetéktelenek elől elvileg lezárt telefon kinyitható oly módon, hogy ehhez egy Skype hívást kell a készülékre irányítani.

A hívás fogadása után mindenféle kód vagy jelszó nélkül is hozzá lehet férni a telefonhoz, és azon a más módszerrel nem zárolt egyes tartalmakhoz, például a felhasználó képgalériájában lévő fotókhoz, albumokhoz, a névjegyzékben szereplő név és telefonszám adatokhoz illetve a készülék böngészőjéhez is. A sérülékenység révén még azt is elérte, hogy a készülék feloldása nélkül akár üzeneteket is tudott küldeni az adott telefonról.

A TheRegisternek azt nyilatkozta, nem vadászik kifejezetten Androidos hibákra, ezt a mostanit véletlenül vette észre, miközben VOIP kapcsolaton keresztül beszélgetett.


Felfedezéséről természetesen haladéktalanul értesítette a Microsoftot. A hiba kijavítására végül a tavaly december 23-án kiadott foltozásban került sor. Érdemes tehát frissíteni az új, 8.15.0.416 számú változatra, bár Android főverziótól függően még lehetnek további esetleges eltérések a használt Skype verzióknál is.

A meghökkentő sebezhetőségről és a kihasznált hibáról a javítófolt megjelenése után, december 31-én feltöltött egy látványos YouTube videót is. Ebben szemléletesen demózta a furcsa jelenséget, amit sokkal inkább a rossz tervezés számlájára ír, semmint konkrét programozási hibának tart, amit valószínűleg az okozott, hogy bejövő hívás esetén a Skype közvetlenül hozzáfért a névjegy és képgaléria adatokhoz, hogy képes legyen megjeleníteni a hívó fél adatait.

A Microsoft ezúttal semmilyen jutalmat (bug bounty) nem adott a biztonsági szakembernek a hiba felfedezéséért, és nem is kommentálta bővebben a konkrét incidens részleteit.