17:17
20/9/2011

XSS w Skype na iPhone

Skype na iPhone’a posiada błąd pozwalający atakującemu na dostęp do plików na telefonie ofiary, w tym do książki adresowej. Aby przeprowadzić atak wystarczy odpowiednio zmodyfikować swoją nazwę użytkownika i przesłać dowolną wiadomość do ofiary.

XSS w Skype

Błąd został odkryty przez Phila Purviance i wynika z braku encodingu zawartości pola z nazwą użytkownika oraz ustawienia przez developerów Skype.app schemy URI na file:// — dzięki temu atakujący ma dostęp do wszystkich plików, do których ma dostęp aplikacja Skype’a (przypomnijmy, że każda aplikacja na iOS odpalana jest w sandboksie).

Co ciekawe, Phil informował Skype’a o błędzie pod koniec sierpnia, ale nie doczekał się poprawki. Na atak XSS podatne są wersje Skype 3.0.1 i wcześniejsze.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

5 komentarzy

Dodaj komentarz
  1. Ja jestem tylko ciekaw kiedy wreszcie wydadzą wersję Skype’a, która nie otwiera na nowo okna “Skype Home”. Google Voice skrobie im marchewki i powinni się w końcu wziąć do roboty.

  2. Piotr: Google voice nie działa na komórkach w Polsce.

    Co do samego XSS na iPhonowym Skype – zastanawia mnie jak to wygląda w sytuacji, gdy urządzenie jest z jailbreakiem – czy mamy wtedy dostęp do całego filesystemu? Ma ktoś większą wiedzę na temat appleowych zabawek? Jak to się ma do plaintext-recovery na SSL/TLS?

  3. Jailbreak nie likwiduje raczej sandboxów – po prostu pozwala na uruchamianie innych aplikacji niż namaszczone przez SJ.
    Zaś co do tego paskudnego okna “skype home” – jedyne póki co rozwiązanie to fajna aplikacyjka, która zabija natychmiast każde okno “skype home” które odważy się pokazać swoją paskudną mordę. Niestety, skutkiem ubocznym jest wyciągnięcie na pierwszy plan samego skype’a, ale i tak to lepsze niż to g*…

  4. […] Skype o “problemie” wie od pół roku i jak do tej pory nie reguje… Inne błędy zdarza mu się łatać […]

  5. nie Skyp’e – tylko teraz to juz Microsoft, i pewnie celowo tego nie naprawiaja, zeby miec dostep do danych klientow Apple’a…

Odpowiadasz na komentarz Andrzej

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: