17:17
20/9/2011

XSS w Skype na iPhone

Skype na iPhone’a posiada błąd pozwalający atakującemu na dostęp do plików na telefonie ofiary, w tym do książki adresowej. Aby przeprowadzić atak wystarczy odpowiednio zmodyfikować swoją nazwę użytkownika i przesłać dowolną wiadomość do ofiary.

XSS w Skype

Błąd został odkryty przez Phila Purviance i wynika z braku encodingu zawartości pola z nazwą użytkownika oraz ustawienia przez developerów Skype.app schemy URI na file:// — dzięki temu atakujący ma dostęp do wszystkich plików, do których ma dostęp aplikacja Skype’a (przypomnijmy, że każda aplikacja na iOS odpalana jest w sandboksie).

Co ciekawe, Phil informował Skype’a o błędzie pod koniec sierpnia, ale nie doczekał się poprawki. Na atak XSS podatne są wersje Skype 3.0.1 i wcześniejsze.

Przeczytaj także:

5 komentarzy

Dodaj komentarz
  1. Ja jestem tylko ciekaw kiedy wreszcie wydadzą wersję Skype’a, która nie otwiera na nowo okna “Skype Home”. Google Voice skrobie im marchewki i powinni się w końcu wziąć do roboty.

  2. Piotr: Google voice nie działa na komórkach w Polsce.

    Co do samego XSS na iPhonowym Skype – zastanawia mnie jak to wygląda w sytuacji, gdy urządzenie jest z jailbreakiem – czy mamy wtedy dostęp do całego filesystemu? Ma ktoś większą wiedzę na temat appleowych zabawek? Jak to się ma do plaintext-recovery na SSL/TLS?

  3. Jailbreak nie likwiduje raczej sandboxów – po prostu pozwala na uruchamianie innych aplikacji niż namaszczone przez SJ.
    Zaś co do tego paskudnego okna “skype home” – jedyne póki co rozwiązanie to fajna aplikacyjka, która zabija natychmiast każde okno “skype home” które odważy się pokazać swoją paskudną mordę. Niestety, skutkiem ubocznym jest wyciągnięcie na pierwszy plan samego skype’a, ale i tak to lepsze niż to g*…

  4. […] Skype o “problemie” wie od pół roku i jak do tej pory nie reguje… Inne błędy zdarza mu się łatać […]

  5. nie Skyp’e – tylko teraz to juz Microsoft, i pewnie celowo tego nie naprawiaja, zeby miec dostep do danych klientow Apple’a…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.