北京时间 9 月 20 日晚间消息,有报道称,iOS 版 Skype 的一个漏洞将导致用户的手机通讯录泄露。Skype 表示,已知道并正在修复这一漏洞。如果用户使用3.0.1或更老版本的 iOS 版 Skype,那么将会受这一跨站脚本漏洞的影响。通过该漏洞,当用户查看聊天信息时,攻击者将可以执行恶意的 JavaScript 代码,从而导致包括手机通讯录在内的用户信息泄露。
Skype 在一份公告中表示:“我们正努力在下一版应用中解决这一已被报告的问题,我们希望能立即推出下一版应用。与此同时,我们建议用户保持警惕,只接受来自熟人的好友请求,并采取一些常见的互联网安全措施。”
AppSec Consulting 信息安全研究员菲尔·普韦恩斯(Phil Purviance)表示:“执行特定的 JavaScript 代码是一方面。我还发现,在内建的 webkit 浏览器中,Skype 不恰当地定义了 URI 方案。原本的设置应为‘about:blank’或‘skype-randomtoken’,但实际上却成为‘file://’。这将使攻击者可以进入用户的文件系统,也可以获取应用本身可获取的文件。”
他指出:“iOS 应用沙箱能部分地解决文件系统的问题,防止攻击者获取特定的敏感文件。然而,所有 iOS 应用都可以获取用户的通讯录,而 Skype 也不例外。”普韦恩斯在 Twitter 上表示,他在近 1 个月之前就向 Skype 报告了这一漏洞。(邱越)
最新评论