02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Межсайтовый скриптинг в Skype для iPhone

Баг в последней версии Skype для iPhone и iPod touch делает уязвимой адресную книгу пользователей, которая может быть украдена просто при просмотре специально заготовленного сообщения, говорит исследователь безопасности AppSec Consulting Фил Пюрвианс.

«Skype использует сохранённый локально HTML-файл для вывода на экран сообщений от других пользователей Skype, но он должным образом не проверяет информацию о ‘Полном имени’ (Full name), что позволяет взломщикам использовать специальный JavaScript, которые срабатывает, когда потенциальная жертва просматривает сообщение», — объяснил он в своём блоге.

Затем он создал PoC-атаку, которая использует эту уязвимость межсайтового скриптинга.

Когда пользователь получает вызывающее сомнение сообщение и открывает его, вредоносный код автоматически исполняется в фоновом режиме и подключает устройство «жертвы» к серверу, заранее установленному взломщиком.

Оттуда устройство получает другой пейлоад, который пересылает файл, содержащий адресную книгу, на сервер. В общем, атака занимает всего несколько минут.

Эта уязвимость показала важную проблему – несмотря на существование «песочницы» в iOS, которая защищает большинство файлов на устройстве, адресная книга  доступна каждому приложению, установленному на устройстве. Это значит, что теоретически компрометация любого из этих приложений могла бы выдать информацию, содержащуюся в адресной книге, взломщикам.