You are hereГруппы / Безопасность / XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу

XSS в Skype для iPhone, хакеры могут похитить вашу адресную книгу


By yuliya - Posted on 20 сентября 2011

Картинка: 
Skype,  iPhone,  уязвимость,  XSS

По какой-то причине многие женщины и мужчины готовы отдать состояние за то, чтобы прочитать SMS сообщения или просмотреть список контактов своих близких. Если эти близкие приобрели iPhone и установили на него Skype, целое состояние больше не потребуется.

Исследователь Фил Пурвианс (Phil Purviance) обнаружил XSS уязвимость в Skype для iPhone. Уязвимость существует из-за недостаточной обработки входных данных в имени контакта. Удаленный пользователь может с помощью специально сформированного имени выполнить произвольный HTML и JavaScript сценарий на целевой системе. Удачная эксплуатация уязвимости позволяет злоумышленнику скачать полноценную копию адресной книги.

В том, что у злоумышленников появилась возможность похитить адресную книгу владельца iPhone, виновен не только Skype. Разработчики iOS не посчитали нужным ограничить доступ установленным приложениям к файлу адресной книги. Таким образом, любое уязвимое приложение, установленное на iPhone, может использоваться злоумышленниками для кражи потенциально важных данных.

Для эксплуатации уязвимости достаточно отправить жертве сообщение. Вставленный в имя пользователя JavaScript код создает подключение к удаленному Web-серверу и перешлет на него файл адресной книги.

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 53 гостя.

Последние комментарии