Nieuws

Skype voor iPhone lekt adresboek

De Skype-app voor de iPhone en iPod Touch is lek. Het volstaat om een chatbericht te openen om je volledige adresboek vrij te geven.

Als je op je iPhone of iPod Touch via Skype een chatbericht ontvangt van beveiligingsonderzoeker Phil Purviance, open het dan niet. De man kan door enkele Javascript-commando’s aan zijn gebruikersnaam toe te voegen chatberichten verzenden die na ontvangst je adressenbestand uploaden naar zijn server.

Purviance misbruikt twee verschillende beveiligingsfouten om zijn doel te bereiken. De eerste is een cross-site-scripting– of XSS-fout in Skype die ervoor zorgt dat gevaarlijke Javascript-commando’s in tekstberichten niet gezuiverd worden.

[related_article id=”161563″]

De tweede onachtzaamheid bevindt zich in iOS. Apples mobiele besturingssysteem staat alle apps toegang tot het adresboek toe. Het volstaat dus om een kwetsbaarheid in elke app uit te buiten om de volledige lijst met contacten te stelen.

Antwoord van Skype
Skype is op de hoogte van de problemen en werkt aan een oplossing, schrijft het in een e-mail aan Techcrunch. Purviance zou de XSS-kwetsbaarheid al een maand geleden gemeld hebben en Skype had hem geantwoord dat er begin deze maand een patch zou uitkomen. Dat is niet gebeurd en daarom maakt Purviance zijn werkwijze nu bekend.

appbeveiligingcross-site scriptingiphonemobielnieuwsskypesoftwarexss

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken