Vulnerabilidade do Skype para iPhone permite que crackers tenham acesso a informações da agenda de contatos

Ícone do Skype para iPhone

Se você é usuário assíduo do Skype para iPhone, cuidado: uma falha no aplicativo permite que crackers executem códigos JavaScript maliciosos que rodam assim que o usuário vê uma mensagem no chat, permitindo o roubo de informações, incluindo a sua agenda de contatos.

Veja o vídeo criado por Phil Purviance, pesquisador de segurança da AppSec Consulting, mostrando como tudo acontece:

Purviance comentou o assunto:

A execução arbitrária de código JavaScript é uma coisa, mas eu achei que o Skype definiu indevidamente o esquema de URI utilizado pelo navegador embutido WebKit. Normalmente, o esquema é definido para algo como about: blank ou skype-randomtoken, mas, neste caso, ele está definido como Arquivo ://. Isto dá ao cracker acesso ao sistema de arquivos de usuários, permitindo acesso a qualquer arquivo que o aplicativo em si seria capaz de acessar.

O acesso ao sistema de arquivos é parcialmente atenuado pela camada sandbox implementada pela Apple, impedindo que um invasor acesse determinados arquivos confidenciais. No entanto, todos os aplicativos para iOS têm acesso à agenda de contatos, e o Skype para iPhone não é exceção.

A empresa está ciente do problema — que aparentemente afeta todas as versões do software — e está trabalhando para corrigir a falha na próxima atualização, que deverá sair a qualquer momento. Porém, de acordo com Purviance, ele já teria avisado a Skype sobre a falha no dia 24/8.

[blackbirdpie id=”115923635734200320″]

Veremos se, com a disseminação da notícia, a empresa corre com isso e libera logo uma correção para esta brecha de segurança.

[via TechCrunch]

Posts relacionados

Comentários