Откриха критична уязвимост във версията на Skype за iOS

Установен беше сериозен проблем във версията на програмата за интернет комуникация Skype за мобилната операционна система iOS. Поради критична уязвимост в програмния код е възможно хакери да се възползват от новооткрития бъг и да откраднат персоналната информация на потребителите, информира Mashable. Уязвимостта е от тип XSS и присъства във версия 3.0.1 на Skype, както и в по-старите вариации на приложението на комуникатора за епълската iOS. Пробивът може да бъде осъществен от хакера чрез изпращането на специално текстово съобщение в прозореца за чат на Skype. Ако то съдържа код, който включва определени JavaScript инструкции хакерът ще получи достъп до всички файлове, които по принцип може да използва самият Skype. В това число влиза и адресната книга на потребителя в iPhone. Ръководителите на Skype са наясно, че подобен проблем има и в момента работят върху изработването на кръпка, която да премахне опасната уязвимост. „Работим усилено върху разрешаването на проблема и той ще бъде оправен в следващата версия на програмата, която предстои да излезе. Междувременно предупреждаваме потребителите да добавят нови хора към листата си само ако ги познават предварително и да действат с повишено внимание. Препоръчваме на хората да се съобразяват с общоприетите практики по отношение на сигурността в интернет.” Експерт от компанията AppSec Consulting е установил, че благодарение на вградения в Skype браузър хакерите могат да получат достъп на практика до почти всеки файл от устройството на потребителя. Разбира се най-важните системни файлове не могат да бъдат достигнати, тъй като достъпът до тях чрез различни приложения е ограничен от Apple за да се повиши сигурността. Оказва се, че AppSec Consulting са предупредили за XSS уязвимостта още преди един месец. Skype използва локален HTML файл за да извежда на екрана съобщенията, които си обменят абонатите в чата. Тези съобщения обикновено са кодирани, но пропускът се състои в това, че пълното име на потребителя с когото се комуникира се съхранява в чист вид. По този начин става възможно инжектирането на зловредния JavaScript и след това е лесно да се изтегли базата с данни на телефона, която в последствие може да бъде разгледана спокойно от хакера. На долното видео можете да видите колко лесно е да се използва тази уязвимост и как за секунди някой с достатъчно желание и умения може да се сдобие с персоналната информация на случаен потребител, който използва Skype в средата на iOS. Тестът, показан в клипа е извършен с помощта на iPhone 4, вървящ под iOS 4.3.5.

Прочети цялата новина

Свързани новини: