XSS-Lücke in Skype iOS App
Programme laufen unter iOS in einer so genannten Sandbox. Das heisst, sie werden abgeschottet von wichtigen Funktionen des Betriebssystems.
Natürlich haben Apps Zugriff auf gewisse Funktionen auf dem iPhone, welche aber sensible Daten enthalten können. So zum Beispiel hat Skype Zugriff auf das Adressbuch. Und mittels der gefundenen Sicherheitslücke kann, wenn der Skype-User als Namen einen gewissen JavaScript-Code verwendet hat, das gesamte Adressbuch ausgelesen werden.
Dies wird in folgendem Video eindrucksvoll gezeigt. Der Test-User bekommt nur eine eingehende Nachricht, schon sieht man wie die Daten ausgelesen und übertragen werden. Es gelingt kein Zugriff auf wichtige Dateien, ebenso bleibt auch Skype selber dem Angreifer verschlossen. Aber das Adressbuch kann vollständig ausgelesen werden.
httpv://www.youtube.com/watch?v=Ou_Iir2SklI&feature=player_embedded
21. September 2011Allgemein,iOS,Software,NeuigkeitenXSS,iOS App,Sicherheitslücke,Skype