Skype voor iPhone geeft door beveiligingslek toegang tot adresboek

De iPhone-app van Skype heeft een beveiligingslek, waardoor het adresboek uit te lezen is. Door het sturen van één berichtje kun je JavaScript-code meesturen in je naam, waardoor het adresboek naar een server wordt gekopieerd. Er wordt gewerkt aan een oplossing.
Gonny van der Zwaag | iCulture.nl -

skype-iphoneDe Skype-applicatie voor de iPhone heeft net als veel iOS-apps de mogelijkheid om in je adresboek te kijken. Volgens securityspecialist Phil P. van de website SuperEVR is dat niet altijd veilig. In een filmpje demonstreert Phil hoe je via cross-site scripting een kwetsbaarheid in de huidige iOS-applicatie uitnut. De procedure is niet bijster ingewikkeld en geeft een hacker toegang tot het complete iPhone-adresboek. De gegevens kunnen vervolgens naar een remote server worden gekopieerd. Het enige wat een aanvaller hoeft te doen, is het sturen van een eerste berichtje naar jouw apparaat, waarbij zijn gebruikersnaam is vervangen door een codeknipsel.


Lukt het om een bericht te sturen, dan stuurt de iPhone het complete adresboek, oftewel de SQLite-database met contactgegevens naar de server van de aanvaller. Dit lukt, omdat Skype een lokaal bewaarde HTML-file gebruikt om de chatberichten van andere Skype-gebruikers te tonen. Het encoderen van de ‘Full Name’ (volledige naam) van een Skype-gebruiker gaat echter niet goed, waardoor je er een kwaadaardig stuk JavaScript-code in kunt verwerken. Deze code wordt actief zodra het slachtoffer het bericht lees. Skype is op de hoogte van het lek en heeft beloofd om het te dichten. Sinds 24 augustus zijn ze ermee bezig, maar de beloofde update waarin het probleem is opgelost, is nog niet verschenen. Ondertussen raden ze aan om alleen te chatten met mensen die je kent.

Reacties: 9 reacties

  1. wow leuke bug, hopen dat dit snel opgelost wordt 🙂

  2. Werd in het begin gek van “onbekenden” die berichtjes zonden en mij belden. Heb daarna instellingen aangepast en nu kunnen alleen contactpersonen bellen of chatten.

    Zal er dus wel geen last van hebben, tenzij een van mijn contactpersonen een hacker is… 🙁

  3. gelukkig is er viber:)

  4. Ben al n tijd benieuwd hoe t met de veiligheid zit bij andere apps zoals bijv SimpleNote die het adresboek opent bij het ingeven van een categorie.
    Is dit een lek? En zou zoiets de reden zijn dat zo’n app gratis kan zijn?

    Weten jullie ook iets over de veiligheid van de notities (met wachtwoorden e.d. in het telefoonboek?

  5. Nice, thx 😀
    Dit gaan we is testen

  6. Origineel geplaatst door mr brightside
    gelukkig is er viber:)

    want viber bevat geen bugs?

  7. Dit is alleen voor iOS 3 en ouder wat ik gelezen heb.

  8. Origineel geplaatst door Phyt
    Dit is alleen voor iOS 3 en ouder wat ik gelezen heb.

    Alsof iemand met lager dan iOS 3 skype heeft 😉
    Tja skype zal heus we snel een update uitbrengen

  9. Als mijn bank geplunderd wordt, dat is erg. Maar wat maakt het adresboek nou uit, mensen maken zich druk om niks. Die hacker heeft de dag van z’n leven: hij ziet het telefoonnummer van Tante Trees. Misschien gaat hij haar wel bellen! Oh, wat eng allemaal! Zeker voor tante Trees.