Skype voor iPhone geeft door beveiligingslek toegang tot adresboek

De iPhone-app van Skype heeft een beveiligingslek, waardoor het adresboek uit te lezen is. Door het sturen van één berichtje kun je JavaScript-code meesturen in je naam, waardoor het adresboek naar een server wordt gekopieerd. Er wordt gewerkt aan een oplossing.

skype-iphoneDe Skype-applicatie voor de iPhone heeft net als veel iOS-apps de mogelijkheid om in je adresboek te kijken. Volgens securityspecialist Phil P. van de website SuperEVR is dat niet altijd veilig. In een filmpje demonstreert Phil hoe je via cross-site scripting een kwetsbaarheid in de huidige iOS-applicatie uitnut. De procedure is niet bijster ingewikkeld en geeft een hacker toegang tot het complete iPhone-adresboek. De gegevens kunnen vervolgens naar een remote server worden gekopieerd. Het enige wat een aanvaller hoeft te doen, is het sturen van een eerste berichtje naar jouw apparaat, waarbij zijn gebruikersnaam is vervangen door een codeknipsel.

Lukt het om een bericht te sturen, dan stuurt de iPhone het complete adresboek, oftewel de SQLite-database met contactgegevens naar de server van de aanvaller. Dit lukt, omdat Skype een lokaal bewaarde HTML-file gebruikt om de chatberichten van andere Skype-gebruikers te tonen. Het encoderen van de ‘Full Name’ (volledige naam) van een Skype-gebruiker gaat echter niet goed, waardoor je er een kwaadaardig stuk JavaScript-code in kunt verwerken. Deze code wordt actief zodra het slachtoffer het bericht lees. Skype is op de hoogte van het lek en heeft beloofd om het te dichten. Sinds 24 augustus zijn ze ermee bezig, maar de beloofde update waarin het probleem is opgelost, is nog niet verschenen. Ondertussen raden ze aan om alleen te chatten met mensen die je kent.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 21 september 2011, 9:54
Categorie Achtergrond
Onderwerpen adresboek, beveiliging, skype

Reacties zijn gesloten voor dit artikel.