Skype предупреждает о новой XSS-уязвимости при работе под iOS

Если вы используете Skype на iPhone или iPod touch, будьте осторожны: в iOS-версии приложения обнаружена XSS-уязвимость. Это значит, что злоумышленник, знакомый со скриптовым языком JavaScript, может получить доступ к вашим личным данным через текстовый чат.

Подобная «дыра» была обнаружена в разных версиях клиента, вплоть до 3.0.1. Она позволяет хакеру запускать вредоносный код, который начинает работать, как только жертва получает текстовое сообщение в окне “Chat Message”. В результате атакующий похищает конфиденциальную пользовательскую информацию, в том числе, данные из адресной книги.

Представители Skype опубликовали официальное предупреждение, где сообщается в т.ч. следующее: «Мы активно работаем над тем, чтобы полностью устранить данную уязвимость уже в следующей версии клиента, которая, как мы надеемся, выйдет в ближайшее время. А пока мы советуем пользователям быть бдительными и принимать текстовые сообщения только от друзей и знакомых. Кроме того, не стоит пренебрегать обычными нормами сетевой безопасности».

Это уже не первая уязвимость, обнаруженная в данном приложении экспертами по сетевой безопасности. Помимо шпионского JavaScript-кода пользователям может грозить ещё один вид атаки. Дело в том, что при работе Skype под iOS, встроенный веб-браузер использует незащищённую URI-схему вида “file://”. Это позволяет хакерам без труда получать доступ к файловой системе жертвы, во всяком случае, к той её части, которая доступна самому приложению, через которое ведётся атака (в данном случае это Skype).

Частичной защитой от подобного вторжения в файловую систему служит встроенная в iOS «Песочница» (Sandbox) — механизм безопасного запуска программ, который позволяет ограничивать доступ приложений к системным ресурсам. Проблема лишь в том, что даже при запуске из «Песочницы» приложения получают доступ к адресной книге пользователя, и Skype здесь не исключение.

Остаётся лишь надеяться, что более безопасная версия Skype не заставит ждать себя слишком долго.

© Все права на материалы опубликованные на сайте ls-comp.ru, являются интеллектуальной собственностью и охраняются в соответствии с законодательством РФ. При цитировании материалов с данного сайта прямая гиперссылка обязательна.