XSS в Skype для IOS

Если вы используете IOS версию Skype на вашем iPhone или IPod Touch, будьте внимательны: была обнаружена cross-site scripting уязвимость в окне «Chat Message» скайпа версии 3.0.1 и более ранних.

Дыра позволяет злоумышленникам выполнить вредоносный код JavaScript, который выполняется при просмотре жертвой сообщения чата. Эта уязвимость позволяет кражу информации, например адресную книгу пользователя (см. видео под катом).

Skype утверждает, что знает о проблеме в безопасности, и заявил следующее:

«Мы прилагаем все усилия, чтобы устранить эту проблему в нашем следующем релизе, который мы надеемся выпустить в ближайшее время. В то же время, мы как всегда рекомендуем людям проявлять осторожность и принимать запросы от людей, которых они знают, а также не забывать об элементарных правилах безопасности в интернете».

Первого предложения было бы достаточно, уважаемый Skype.

Исследователь безопасности Фил Purviance из AppSec Consulting пишет:

Выполнение произвольного JavaScript кода — это крайне не приятно, но я обнаружил, что Skype также неправильно работает с URI. Обычно вы увидите урл похожий на что-то вроде «about:blank» или «skype-randomtoken», но в данном случае мы видим «file://». Это дает злоумышленнику доступ к файловой системе пользователя, и он может получить доступ к любому файлу, к которому само приложение имеет доступ.
Доступ к файловой системе частично контролируется песочницей IOS, реализованной Apple, не давая злоумышленнику доступ к важным файлам. Тем не менее, каждое приложение IOS имеет доступ к AddressBook пользователей, и Skype не является исключением.

В своем Twitter Фил говорит, что он сообщил про эту XSS-уязвимость Skype почти месяц назад.

Будем надеяться, что вскоре следует ждать обновление, и огласка в СМИ поспособствует этому.