You are hereГруппы / Безопасность / XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу
XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу
По какой-то причине многие женщины и мужчины готовы отдать состояние за то, чтобы прочитать SMS сообщения или просмотреть список контактов своих близких. Если эти близкие приобрели iPhone и установили на него Skype, целое состояние больше не потребуется.
Исследователь Фил Пурвианс (Phil Purviance) обнаружил XSS уязвимость в Skype для iPhone. Уязвимость существует из-за недостаточной обработки входных данных в имени контакта. Удаленный пользователь может с помощью специально сформированного имени выполнить произвольный HTML и JavaScript сценарий на целевой системе. Удачная эксплуатация уязвимости позволяет злоумышленнику скачать полноценную копию адресной книги.
В том, что у злоумышленников появилась возможность похитить адресную книгу владельца iPhone, виновен не только Skype. Разработчики iOS не посчитали нужным ограничить доступ установленным приложениям к файлу адресной книги. Таким образом, любое уязвимое приложение, установленное на iPhone, может использоваться злоумышленниками для кражи потенциально важных данных.
Для эксплуатации уязвимости достаточно отправить жертве сообщение. Вставленный в имя пользователя JavaScript код создает подключение к удаленному Web-серверу и перешлет на него файл адресной книги.
securitylab.ru
Отправить комментарий