iOS-Skype angreifbar. Nachsitzen ist überfällig.

von alex olma | 21. September 2011 | 12:12 Uhr

A Cross-Site Scripting vulnerability exists in the “Chat Message” window in Skype 3.0.1 and earlier versions for iPhone and iPod Touch devices. Skype uses a locally stored HTML file to display chat messages from other Skype users, but it fails to properly encode the incoming users “Full Name”, allowing an attacker to craft malicious JavaScript code that runs when the victim views the message.

via Superevr

Die Skype-Schwachstelle unter iOS, die im schlimmsten Fall das Adressbuch entwendet (Stichwort: Sandbox), ist unschön. Insbesondere weil das Sicherheitsproblem (laut Phil Purviance) der Microsoft-Tochterfirma seit dem 24. August bekannt ist.

DirektXSS

Erwähnenswert in diesem Zusammenhang: Drittanbieter-Apps können weiterhin ohne Einschränkung und ohne eine verpflichtende Benachrichtigung ihrer Nutzer auf dessen persönliche Kontaktliste zugreifen. Einige Anwendungen fragen vor dieser Verwendung eigenständig nach – bindend ist das jedoch nicht.

IPhoneBlog de Viber a 1IPhoneBlog de Viber b

In iOS 5 feinjustiert Apple erneut die Einstellungen für Ortungsdienste. Der Zugriff auf das Adressbuch bleibt allerdings auch im kommenden Update immer noch ‘unreguliert’. Das gilt es zu ändern!

  • Markus

    Solange Leute freiwillig ihr gesamtes Telefonbuch an Facebook und Co. hochladen und damit nicht nur ihre eigenen Daten, sondern vorallem auch jene von Bekannten, Geschäftskontakten und Co weitergeben, weiß ich nicht was ich von der Skype-Geschichte halten soll.

    • Anonymous

      Na dann lade Deine Daten mal auf meinem Server hoch, schicke Dir gleich die Zugangsdaten.

    • Anonymous

      Leute Laden auch freiwillig ihre Telefonbücher, ja sogar ihre Emails, auf andere fremde Server hoch. Verwerflicher?

      Es geht hier doch um ungewolltes Verbreiten privater Informationen und das ich nie gut. Zugriff auf’s Adressbuch haben bei iOS übrigens auch Teile von Apps, wie z.B. die eingebundene Werbung. Es wäre vermutlich der Todesstoß für ein Netzwerk, wenn sie das missbrauchen würden, aber immerhin könnten sie. Alex hat Recht, iOS braucht dringend mehr Zugriffsregulierung. Vielleicht kopieren sie das ja auch noch von Android & Co … irgendwann mal ;-)

  • Ollicent

    gleich noch ein Punkt über den ich mich schon lange bei Skype iOS aufrege: Skype öffnet beliebige Webseiten, deren URL im Chat steht. Ergo: Skype ist ein Webbrowser.
    Das steht aber im Wiederspruch zum 4+ Rating.
    Apple nimmt es sonst mit dem Jugendschutz recht genau. Aber wenn ich die iPods meiner Kinder auf 12+ einschränke und somit Webbrowser verbiete, können sie über Skype trotzdem “wild rumsurfen”.
    Das habe ich schon vor langer Zeit bei Skype und bei Apple gemeldet. Interessiert leider niemanden. Gibt es eigentlich einen prominenten Ort, wo man Apps melden kann, die gegen Apples Richtlinien verstoßen?

Werbung

Wer eine beliebige iPhone-App im iTunes App Store über diesen Link kauft, seinen Mac mit Programmen aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Mok adn lang hell tr

Werbeplatz gefällig? -> KLICK.

Flattr verteilt kleine Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!