Skype pro iOS obsahuje velkou bezpečnostní díru
V aktuální verzi komunikační aplikace Skype určené pro operační systém iOS byla objevena významná bezpečnostní díra, která umožní komukoli získat vaše kontakty bez přístupu k vašemu telefonu.
Na zmíněnou skutečnost přišla bezpečnostní společnost SuperEVR, která o ní také informovala na svém blogu. Tato bezpečnostní chyba spočívána skutečnost, s jakou Skype pro iOS zpracovává jména uživatelů a využívá k vykreslování obsahu systémové jádro webkit. Lze mu tedy podvrhnout skript, který je schopen číst data v vnitřního disku iOS zařízení.
I přesto, že aplikace v iOS mají jen omezený přístup k diskovému systému, lze vést útok na databázi kontaktů, ke které mají přístup všechny aplikace a Skype není výjimkou.
Z pohledu uživatele se nic neděje: pouze odpovíte na Skypu uživateli a to stačí, aby se provedl script, který vaši databázi kontaktů nahraje na server účastníka. Vy si ničeho nevšimnete, jak můžete vidět na následujícím demostračním videu. Ano, takhle snadné to je.
[HTML1]
Společnost Skype již vydala prohlášení, že na odstranění této chyby pracuje a prozatím doporučuje uživatelům, aby na Skype komunikovali pouze s lidmi, které dobře znají a blokovali všechny ostatní.
Není to spíš chyba webkitu, když umožní skriptu běžícímu v něm přistupovat ke kontaktům?
Vypadá to, že vývojářská divize Microsoftu ten Skyp vzal opravdu pevně do vlastních rukou, už ty bezpečnostní chyby začnou jen přibývat, stačí, že chat dělá na iPhonu bordel…