httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Pokud jste uživatelem Skype na iPhonu nebo iPodu Touch, upozorňujeme vás: došlo k nové zranitelnosti skriptování mezi weby objeveno ve verzi 3.0.1, která umožňuje útočníkům spouštět škodlivý kód JavaScript pouhým zasláním chatu zpráva.
Dobrou zprávou je, že Skype si je tohoto problému vědom a již zavádí aktualizaci, která opravuje zneužití.
Špatné zprávy? K tomuto zneužití dochází, když si jednoduše zobrazíte zprávu z chatu, což znamená, že kdokoli, kdo vám pošle rychlou zprávu na Skype, může snadno zneužít vaše soukromé informace.
Bezpečnostní výzkumník Phil Purviance, který exploit našel, říká:
Spuštění libovolného kódu Javascriptu je jedna věc, ale zjistil jsem, že Skype také nesprávně definuje schéma URI používané vestavěným prohlížečem webkit pro Skype. Obvykle uvidíte schéma nastavené na něco jako „about: blank“ nebo „skype-randomtoken“, ale v tomto případě je ve skutečnosti nastaveno na „file: //“. Útočník tak získá přístup k souborovému systému uživatelů a útočník může získat přístup k jakémukoli souboru, ke kterému by měla přístup samotná aplikace.
Přístup k systému souborů je částečně zmírněn sandboxem aplikace iOS, který Apple implementoval, což brání útočníkovi v přístupu k určitým citlivým souborům. Každá aplikace pro iOS má však přístup k adresáři uživatelů a Skype není výjimkou.
Vypadá to jako dobrý příklad klasické časové osy exploitů: nebezpečný exploit je objeven a poté ohlášen společnosti, která pokračuje nic o tom, dokud se osoba, která exploit našla, nedostane na veřejnost, a v tu chvíli jsou najednou schopni vydat opravu do dvaceti čtyř hodiny.
Každopádně buďte na Skype pro iOS následujících pár dní opatrní. Doufejme, že to Skype brzy napraví.