Skype voor iPhone lekt adresboek
XSS-kwetsbaarheid
20 september 2011 | Jan Custers
De Skype-app voor de iPhone en iPod Touch is lek. Het volstaat om een chatbericht te openen om je volledige adresboek vrij te geven.
Als je op je iPhone of iPod Touch via Skype een chatbericht ontvangt van beveiligingsonderzoeker Phil Purviance, open het dan niet. De man kan door enkele Javascript-commando’s aan zijn gebruikersnaam toe te voegen chatberichten verzenden die na ontvangst je adressenbestand uploaden naar zijn server.
Purviance misbruikt twee verschillende beveiligingsfouten om zijn doel te bereiken. De eerste is een cross-site-scripting- of XSS-fout in Skype die ervoor zorgt dat gevaarlijke Javascript-commando’s in tekstberichten niet gezuiverd worden.
De tweede onachtzaamheid bevindt zich in iOS. Apples mobiele besturingssysteem staat alle apps toegang tot het adresboek toe. Het volstaat dus om een kwetsbaarheid in elke app uit te buiten om de volledige lijst met contacten te stelen.
Antwoord van Skype
Skype is op de hoogte van de problemen en werkt aan een oplossing, schrijft het in een e-mail aan Techcrunch. Purviance zou de XSS-kwetsbaarheid al een maand geleden gemeld hebben en Skype had hem geantwoord dat er begin deze maand een patch zou uitkomen. Dat is niet gebeurd en daarom maakt Purviance zijn werkwijze nu bekend.
bron: ZDNet
Lees verder op ZDNet »
Apple belooft oplossing voor stelende iPhone-apps
Foto-app Path steelt je adresboek
Skype voor Windows krijgt Full HD
Skype voor Windows Phone komt binnenkort
Skype laat hackers je bittorrentdownloads zien
Europa: Microsoft mag Skype overnemen
Oude iPhones worden nu al ingeruild
Skype koopt chatdienst GroupMe
Google opent aanval op Skype
Skype op Android krijgt videobellen
Technische problemen bij Skype
Wat wil Microsoft doen met Skype?
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
