Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.
По какой-то причине многие женщины и мужчины готовы отдать состояние за то, чтобы прочитать SMS сообщения или просмотреть список контактов своих близких. Если эти близкие приобрели iPhone и установили на него Skype, целое состояние больше не потребуется.
Исследователь Фил Пурвианс (Phil Purviance) обнаружил XSS уязвимость в Skype для iPhone. Уязвимость существует из-за недостаточной обработки входных данных в имени контакта. Удаленный пользователь может с помощью специально сформированного имени выполнить произвольный HTML и JavaScript сценарий на целевой системе. Удачная эксплуатация уязвимости позволяет злоумышленнику скачать полноценную копию адресной книги, как показано в демонстрационном видео.
В том, что у злоумышленников появилась возможность похитить адресную книгу владельца iPhone, виновен не только Skype. Разработчики iOS не посчитали нужным ограничить доступ установленным приложениям к файлу адресной книги. Таким образом, любое уязвимое приложение, установленное на iPhone, может использоваться злоумышленниками для кражи потенциально важных данных.
Как видно на демонстрационном видео, для эксплуатации уязвимости достаточно отправить жертве сообщение. Вставленный в имя пользователя JavaScript код создает подключение к удаленному Web-серверу и перешлет на него файл адресной книги.