A vulnerabilidade permite que o atacante local e de forma não autenticada consiga ver fotos e contactos, além de links abertos no browser. Caso o dispositivo estivesse bloqueado, o atacante precisaria apenas de uma chamada de Skype e responder à mesma para conseguir acesso aos dados do utilizador. Caso quisesse iniciar o Browser, o atacante só precisaria de enviar uma mensagem por Skype com um link e clicar no mesmo.

Desta forma, eis o que, muito resumidamente, o atacante poderia fazer:

--> ver fotos e albuns do telemóvel da vítima

--> ver contactos dentro do telemóvel

--> Aceder ao Browser

--> Iniciar o Browser

Este problema foi descoberto a partir de um erro no código do Skype para esta plataforma em específico e que requeria de igual modo um acesso físico ao dispositivo.

Mais informações aqui: https://securityaffairs.co/wordpress/79509/breaking-news/skype-for-android-flaw.html

Publicação da falha com prova de conceito (PoC): https://www.linkedin.com/feed/update/urn:li:activity:6485964576415453184/