Предупреждаваме собствениците на iPhone и iPod touch устройства, че дупка в сигурността в Skype приложението за тези устройства позволява изпълняването на зловреден JavaScript код. Кодът се изпълнява, когато потребителят отвори получено текстово съобщение, като потребителят въобще не разбира, че нещо се случва. По този начин може да бъде открадната информация, записана на потребителското устройство, включително и информация от адресната книга на потребителя.
Purviance споделя, че е уведомил Skype за XSS дупката в сигурността преди около месец. Ето какво казват от Skype във връзка с този проблем:
“Усилено работим, за да отстраним този проблем при следващата планирана версия, която се надяваме да пуснем съвсем скоро. Междувременно препоръчваме хората да внимават и да приемат запитвания за сприятеляване само от хора, които познават, и да следват стандартните правила за интернет сигурност.”
Phil Purviance е направил картко видео, в което показва как може да бъде използвана дупката в сигурността на приложението. Ето какво споделя той:
„Изпълняването на случаен JavaScript код е едно, но аз открих, че Skype неправилно дефинира URI схемата, използвана във вградения webkit браузър за Skype. Обикновено, ще видим зададено нещо като “about:blank” или “skype-randomtoken”,но тук е зададено “file://”. Това дава на атакуващия достъп до файловата система на потребителя, атакуващият има достъп до всеки файл, до който има достъп и самото приложение.
Достъпът до файловата система е частично ограничен от iOS Application sandbox, който Apple е направил, което не дава достъп на атакуващия до определени файлове. Въпреки това, всяко iOS приложение има достъп до адресната книга на потребителя и Skype не е изключение.”
