Vulnerabilidade XSS no Skype para iOS

Se você utiliza o Skype no seu IPhone ou IPad, considere-se avisado, de uma vulnerabilidade que o mesmo possui em  sua janela de “Chat”, isso nas versões 3.0.1 e anteriores.

Essa vulnerabilidade permite que um cracker execute um código JavaScript malicioso quando a vítima visualiza uma mensagem no chat, permitindo, acesso e roubo de informações incluindo o “AddressBook” da vítima.

Skype diz que está ciente do problema de segurança, e emitiu a seguinte declaração:

“Estamos trabalhando duro para corrigir esse problema relatado em nosso próximo lançamento, que esperamos lançar em breve. Nesse meio tempo, sempre recomendo as pessoas cautela e apenas aceitar pedidos de amizade de pessoas que conhecem e praticar a segurança da Internet senso comum, como sempre. “

O pesquisador de segurança Phil Purviance, que mostra a falha, escreve:

“A execução de código Javascript arbitrária é uma coisa, mas eu achei que o Skype também indevidamente define o esquema de URI utilizado pelo navegador embutido webkit para Skype. Normalmente, você verá o esquema definido para algo como: “about: blank” ou “skype-randomtoken”, mas neste caso é realmente definido como “file ://”. Isto dá a um atacante acesso ao sistema de arquivos de usuários, e um atacante pode acessar qualquer arquivo que o aplicativo em si seria capaz de acessar.

Acesso ao sistema de arquivos é parcialmente atenuado pela Aplicação iOS sandbox que a Apple implementou, impedindo que um invasor acesse determinados arquivos confidenciais.No entanto, cada aplicação iOS tem acesso ao AddressBook usuários e Skype não é excepção.”

Veja o video :

Fonte: https://superevr.com/blog/