Ошибка в новой версии Skype для iPhone и iPod Touch делает уязвимыми личные данные пользователе. Ваш список контактов и адресная книга могут быть украдены с помощью специально сформированного сообщения. Простое решение проблемы: не открывайте текстовые сообщения в окне чата и ждите нового обновления программы, которое появится в ближайшее время.

Уязвимость к скриптам кросс-сайтов является излюбленным и наиболее популярным методом атаки хакеров, данная “дыра” в системе безопасности работает одинаково хорошо как на смартфонах, так и на персональных компьютерах. Они, как правило, заставляют пользователя запустить специальный код, который выглядит как код легального сайта, но может быть использован злоумышленниками в своих целях.

Пользователи, которые обнаружили эту ошибку, определили, что баг позволяет просматривать и скачивать список контактов, так как он не входит в число наиболее “чувствительных” файлов и операционная система iPhone не обеспечивает его защиту. Для того чтобы хакер смог влезть в вашу адресную книгу, вы должны добавить “нового друга” в свой список контактов и прочитать его сообщение в окне чата.

Когда пользователь получает и открывает такое сообщение, вредоносный код автоматически запускается в фоновом режиме и подключает устройство к серверу злоумышленника. С него iPhone получает команду на отправку файлов, содержащих данные из списка контактов, так как они не защищены iOS. Вся атака происходит всего за несколько минут.

Если закрыть глаза на неспособность приложения Skype распознавать вредоносные JavaScript коды, проблема все же остается. iOS защищает файловую систему от большинства программ, но доступ к адресной книге имеют все приложения установленные на iPhone.

Это означает, что, теоритически, любая программа может отсылать файлы содержащие список контактов злоумышленникам.

Skype сказали что уже знают о данной проблеме и сделали следующее заявление:

“Мы прилагаем все усилия, чтобы устранить этот баг в следующем обновлении приложения Skype, которое мы надеемся выпустить в ближайшее время. Тем не менее, мы всегда рекомендуем нашим клиентам проявлять осторожность при добавлении новых пользователей в свой список контактов, особенно тех, которых они почти не знают. Ну и не стоит забывать об основах интернет безопасности”.

Фил Пурвинс, специалист по безопасности из AppSec Consulting, который продемонстрировал на видео суть данной ошибки, написал следующее:

“Использование вредоносных JavaScript кодов это не все минусы Skype, я так же обнаружил, что встроенный браузер WebKit неправильно определяет схему URL для данного приложения. Обычно, схема выглядит примерно так: about:blank или skype-randomtoken. Но в данном случае, она представляет собой “file://”. Это дает злоумышленнику возможность просмотреть всю файловую систему девайса. Хакер может заполучить любой файл, доступ к которому открыт для приложения Skype.

Файловая система частично защищена операционной системой, так как Apple ограничили доступ приложений к наиболее важным файлам в своей iOS. Тем не менее, каждая программа имеет доступ к адресной книге и Skype не является исключением”.

Tagged with:
 
About The Author

Anonymous

Добавить комментарий