SKY-net

По какой-то причине многие женщины и мужчины готовы отдать состояние за то, чтобы прочитать SMS сообщения или просмотреть список контактов своих близких. Если эти близкие приобрели iPhone и установили на него Skype, целое состояние больше не потребуется.

Исследователь Фил Пурвианс (Phil Purviance) обнаружил XSS уязвимость в Skype для iPhone. Уязвимость существует из-за недостаточной обработки входных данных в имени контакта. Удаленный пользователь может с помощью специально сформированного имени выполнить произвольный HTML и JavaScript сценарий на целевой системе. Удачная эксплуатация уязвимости позволяет злоумышленнику скачать полноценную копию адресной книги, как показано в демонстрационном видео.

В том, что у злоумышленников появилась возможность похитить адресную книгу владельца iPhone, виновен не только Skype. Разработчики iOS не посчитали нужным ограничить доступ установленным приложениям к файлу адресной книги. Таким образом, любое уязвимое приложение, установленное на iPhone, может использоваться злоумышленниками для кражи потенциально важных данных.

Как видно на демонстрационном видео, для эксплуатации уязвимости достаточно отправить жертве сообщение. Вставленный в имя пользователя JavaScript код создает подключение к удаленному Web-серверу и перешлет на него файл адресной книги.

www.securitylab.ru

Опубликовано 20.09.2011 15:08 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• IM+: Skype приходит на iPhone
• Skype приходит на iPhone: IM+
• Состоялся релиз обновленной версии 1.2 Skype для iPhone
• Официально представлена версия Skype для iPhone
• Владельцы Android теперь смогут пользоваться видеозвонками Skype