iPhoneBlog.de iPhoneBlog.de
van Alex Olma
21. September 2011 – 12:12 Uhr

iOS-Skype angreifbar. Nachsitzen ist überfällig.

A Cross-Site Scripting vulnerability exists in the „Chat Message“ window in Skype 3.0.1 and earlier versions for iPhone and iPod Touch devices. Skype uses a locally stored HTML file to display chat messages from other Skype users, but it fails to properly encode the incoming users „Full Name“, allowing an attacker to craft malicious JavaScript code that runs when the victim views the message.

Die Skype-Schwachstelle unter iOS, die im schlimmsten Fall das Adressbuch entwendet (Stichwort: Sandbox), ist unschön. Insbesondere weil das Sicherheitsproblem (laut Phil Purviance) der Microsoft-Tochterfirma seit dem 24. August bekannt ist.

DirektXSS

Erwähnenswert in diesem Zusammenhang: Drittanbieter-Apps können weiterhin ohne Einschränkung und ohne eine verpflichtende Benachrichtigung ihrer Nutzer auf dessen persönliche Kontaktliste zugreifen. Einige Anwendungen fragen vor dieser Verwendung eigenständig nach – bindend ist das jedoch nicht.

IPhoneBlog de Viber a 1IPhoneBlog de Viber b

In iOS 5 feinjustiert Apple erneut die Einstellungen für Ortungsdienste. Der Zugriff auf das Adressbuch bleibt allerdings auch im kommenden Update immer noch ‚unreguliert‘. Das gilt es zu ändern!

Social

Abonnement

iPhoneBlog #one präsentiert wöchentlich neue Videos über App-Store-Apps und einen täglichen Ideenaustausch im privaten Slack-Kanal. Noch nicht dabei? Werde Abonnent.

Du hast schon einen Account? Login.

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Archiv

Gastfreundschaften