Skype per iOS ha un bug che permette l’accesso alla rubrica

Skype sta lavorando per risolvere una grave falla di sicurezza individuata nella sua applicazione iOS per l’iPhone e iPod touch, che potrebbe consentire ad un pirata informatico di rubare i dati contenuti nella rubrica della vittima. La vulnerabilità, che si trova nella finestra della chat, può essere sfruttata con un codice JavaScript, ed è stata scoperta dall’esperto di sicurezza Phil Purviance di AppSec.

“Skype utilizza un file HTML memorizzato localmente per visualizzare i messaggi di chat di altri utenti Skype, ma non riesce a codificare correttamente l’ingresso dell’utente ‘Nome e cognome,’ permettendo un attacco con un codice maligno JavaScript che viene eseguito quando la vittima visualizza il messaggio”, ha spiegato Purviance sul suo blog.

Il cuore del problema, secondo il Purviance, è una definizione impropria all’interno dell’applicazione Skype che consente l’accesso al file system locale di un utente. La sandbox all’interno di iOS neutralizza gran parte di questa falla, ma la rubrica rimane vulnerabile.

Skype non sembra avere alcuna fretta di risolvere il problema. In un tweet, Purviance ha fatto sapere di aver informato Skype del problema il 24 agosto e gli è stato risposto che un aggiornamento sarebbe stato rilasciato all’inizio di settembre per chiudere la falla.

È possibile guardare una dimostrazione di come esattamente l’exploit funziona in questo video creato da Purviance: