Баг в последней версии Skype для iPhone и iPod touch делает уязвимой адресную
книгу пользователей, которая может быть украдена просто при просмотре специально
заготовленного сообщения, говорит исследователь безопасности AppSec Consulting
Фил Пюрвианс.
"Skype использует сохранённый локально HTML-файл для вывода на экран
сообщений от других пользователей Skype, но он должным образом не проверяет
информацию о 'Полном имени' (Full name), что позволяет взломщикам использовать
специальный JavaScript, которые срабатывает, когда потенциальная жертва
просматривает сообщение", - объяснил он в своём блоге.
Затем он создал PoC-атаку, которая использует эту уязвимость межсайтового
скриптинга.
Когда пользователь получает вызывающее сомнение сообщение и открывает его,
вредоносный код автоматически исполняется в фоновом режиме и подключает
устройство "жертвы" к серверу, заранее установленному взломщиком.
Оттуда устройство получает другой пейлоад, который пересылает файл,
содержащий адресную книгу, на сервер. В общем, атака занимает всего несколько
минут.
Эта уязвимость показала важную проблему – несмотря на существование
"песочницы" в iOS, которая защищает большинство файлов на устройстве, адресная
книга доступна каждому приложению, установленному на устройстве. Это
значит, что теоретически компрометация любого из этих приложений могла бы выдать
информацию, содержащуюся в адресной книге, взломщикам.
