Se você é usuário assíduo do Skype para iPhone, cuidado: uma falha no aplicativo permite que crackers executem códigos JavaScript maliciosos que rodam assim que o usuário vê uma mensagem no chat, permitindo o roubo de informações, incluindo a sua agenda de contatos.
Se você é usuário assíduo do Skype para iPhone, cuidado: uma falha no aplicativo permite que crackers executem códigos JavaScript maliciosos que rodam assim que o usuário vê uma mensagem no chat, permitindo o roubo de informações, incluindo a sua agenda de contatos.Veja o vídeo criado por Phil Purviance, pesquisador de segurança da AppSec Consulting, mostrando como tudo acontece:
Purviance comentou o assunto:
A execução arbitrária de código JavaScript é uma coisa, mas eu achei que o Skype definiu indevidamente o esquema de URI utilizado pelo navegador embutido WebKit. Normalmente, o esquema é definido para algo como
about: blankouskype-randomtoken, mas, neste caso, ele está definido comoArquivo ://. Isto dá ao cracker acesso ao sistema de arquivos de usuários, permitindo acesso a qualquer arquivo que o aplicativo em si seria capaz de acessar.O acesso ao sistema de arquivos é parcialmente atenuado pela camada sandbox implementada pela Apple, impedindo que um invasor acesse determinados arquivos confidenciais. No entanto, todos os aplicativos para iOS têm acesso à agenda de contatos, e o Skype para iPhone não é exceção.
A empresa está ciente do problema — que aparentemente afeta todas as versões do software — e está trabalhando para corrigir a falha na próxima atualização, que deverá sair a qualquer momento. Porém, de acordo com Purviance, ele já teria avisado a Skype sobre a falha no dia 24/8.
[blackbirdpie id=”115923635734200320″]Veremos se, com a disseminação da notícia, a empresa corre com isso e libera logo uma correção para esta brecha de segurança.
[via TechCrunch]
