Skype voor iPhone geeft door beveiligingslek toegang tot adresboek

De Skype-applicatie voor de iPhone heeft net als veel iOS-apps de mogelijkheid om in je adresboek te kijken. Volgens securityspecialist Phil P. van de website SuperEVR is dat niet altijd veilig. In een filmpje demonstreert Phil hoe je via cross-site scripting een kwetsbaarheid in de huidige iOS-applicatie uitnut. De procedure is niet bijster ingewikkeld en geeft een hacker toegang tot het complete iPhone-adresboek. De gegevens kunnen vervolgens naar een remote server worden gekopieerd. Het enige wat een aanvaller hoeft te doen, is het sturen van een eerste berichtje naar jouw apparaat, waarbij zijn gebruikersnaam is vervangen door een codeknipsel.

Lukt het om een bericht te sturen, dan stuurt de iPhone het complete adresboek, oftewel de SQLite-database met contactgegevens naar de server van de aanvaller. Dit lukt, omdat Skype een lokaal bewaarde HTML-file gebruikt om de chatberichten van andere Skype-gebruikers te tonen. Het encoderen van de ‘Full Name’ (volledige naam) van een Skype-gebruiker gaat echter niet goed, waardoor je er een kwaadaardig stuk JavaScript-code in kunt verwerken. Deze code wordt actief zodra het slachtoffer het bericht lees. Skype is op de hoogte van het lek en heeft beloofd om het te dichten. Sinds 24 augustus zijn ze ermee bezig, maar de beloofde update waarin het probleem is opgelost, is nog niet verschenen. Ondertussen raden ze aan om alleen te chatten met mensen die je kent.