A vulnerabilidade permite que o atacante local e de forma não autenticada consiga ver fotos e contactos, além de links abertos no browser. Caso o dispositivo estivesse bloqueado, o atacante precisaria apenas de uma chamada de Skype e responder à mesma para conseguir acesso aos dados do utilizador. Caso quisesse iniciar o Browser, o atacante só precisaria de enviar uma mensagem por Skype com um link e clicar no mesmo.
Desta forma, eis o que, muito resumidamente, o atacante poderia fazer:
--> ver fotos e albuns do telemóvel da vítima
--> ver contactos dentro do telemóvel
--> Aceder ao Browser
--> Iniciar o Browser
Este problema foi descoberto a partir de um erro no código do Skype para esta plataforma em específico e que requeria de igual modo um acesso físico ao dispositivo.
Mais informações aqui: https://securityaffairs.co/wordpress/79509/breaking-news/skype-for-android-flaw.html
Publicação da falha com prova de conceito (PoC): https://www.linkedin.com/feed/update/urn:li:activity:6485964576415453184/