Заказать звонок
Онлайн-консультант
Предложить идею!

Skype предупреждает о новой XSS-уязвимости при работе под iOS

Раздел «Новости»
 
Эта новость заинтересовала: 2977 человек
Дата публикации: 20.09.2011

Если вы используете Skype на iPhone или iPod touch, будьте осторожны: в iOS-версии приложения обнаружена XSS-уязвимость. Это значит, что злоумышленник, знакомый со скриптовым языком JavaScript, может получить доступ к вашим личным данным через текстовый чат.

Подобная «дыра» была обнаружена в разных версиях клиента, вплоть до 3.0.1. Она позволяет хакеру запускать вредоносный код, который начинает работать, как только жертва получает текстовое сообщение в окне “Chat Message”. В результате атакующий похищает конфиденциальную пользовательскую информацию, в том числе, данные из адресной книги.

Будьте внимательны, используя Skype на iPhone или iPod touch.

Будьте внимательны, используя Skype на iPhone или iPod touch.

Представители Skype опубликовали официальное предупреждение, где сообщается в т.ч. следующее: «Мы активно работаем над тем, чтобы полностью устранить данную уязвимость уже в следующей версии клиента, которая, как мы надеемся, выйдет в ближайшее время. А пока мы советуем пользователям быть бдительными и принимать текстовые сообщения только от друзей и знакомых. Кроме того, не стоит пренебрегать обычными нормами сетевой безопасности».

Это уже не первая уязвимость, обнаруженная в данном приложении экспертами по сетевой безопасности. Помимо шпионского JavaScript-кода пользователям может грозить ещё один вид атаки. Дело в том, что при работе Skype под iOS, встроенный веб-браузер использует незащищённую URI-схему вида “file://”. Это позволяет хакерам без труда получать доступ к файловой системе жертвы, во всяком случае, к той её части, которая доступна самому приложению, через которое ведётся атака (в данном случае это Skype).

Частичной защитой от подобного вторжения в файловую систему служит встроенная в iOS «Песочница» (Sandbox) — механизм безопасного запуска программ, который позволяет ограничивать доступ приложений к системным ресурсам. Проблема лишь в том, что даже при запуске из «Песочницы» приложения получают доступ к адресной книге пользователя, и Skype здесь не исключение.

Остаётся лишь надеяться, что более безопасная версия Skype не заставит ждать себя слишком долго.


© Все права на материалы опубликованные на сайте ls-comp.ru, являются интеллектуальной собственностью и охраняются в соответствии с законодательством РФ. При цитировании материалов с данного сайта прямая гиперссылка обязательна.