Vulnerabilidade do Skype para iPhone permite que crackers tenham acesso a informações da agenda de contatos

Se você é usuário assíduo do Skype para iPhone, cuidado: uma falha no aplicativo permite que crackers executem códigos JavaScript maliciosos que rodam assim que o usuário vê uma mensagem no chat, permitindo o roubo de informações, incluindo a sua agenda de contatos.

http://youtu.be/Ou_Iir2SklI

Purviance comentou sobre o assunto:

A execução arbitrária de código JavaScript é uma coisa, mas eu achei que o Skype definiu indevidamente o esquema de URI utilizado pelo navegador embutido WebKit.

Normalmente, o esquema é definido para algo como about: blank ou skype-randomtoken, mas, neste caso, ele está definido como Arquivo ://. Isto dá ao cracker acesso ao sistema de arquivos de usuários, permitindo acesso a qualquer arquivo que o aplicativo em si seria capaz de acessar.

O acesso ao sistema de arquivos é parcialmente atenuado pela camada sandbox implementada pela Apple, impedindo que um invasor acesse determinados arquivos confidenciais. No entanto, todos os aplicativos para iOS têm acesso à agenda de contatos, e o Skype para iPhone não é exceção.

A empresa está ciente do problema — que aparentemente afeta todas as versões do software — e está trabalhando para corrigir a falha na próxima atualização, que deverá sair a qualquer momento. Porém, de acordo com Purviance, ele já teria avisado a Skype sobre a falha no dia 24/8.