• Tweet

La acción puede realizarse debido a un error de XSS

Un error en la última versión de Skype para iPhone y iPod touch hace a los usuarios vulnerables al robo de su libreta de direcciones con sólo visualizar un mensaje especialmente diseñado, dice Phil Purviance, investigador de seguridad de AppSec Consulting.

"Skype utiliza un archivo HTML almacenado localmente para mostrar los mensajes de chat de otros usuarios, pero no codifica correctamente el "Nombre completo" de usuarios entrantes (aquellos que inician sesión), lo que permite a un atacante crear códigos maliciosos de JavaScript que se ejecutan cuando la víctima ve el mensaje", explicó en su blog.

Luego creó un ataque de PoC que toma ventaja de este fallo de XSS.

Cuando un usuario recibe el mensaje en cuestión y lo abre, el código del exploit se ejecuta automáticamente en segundo plano y hace que el dispositivo de la víctima se conecte a un servidor configurado previamente por el atacante.

A partir de ahí, el dispositivo toma otra carga que le ordena subir el archivo que contiene la libreta de direcciones al servidor. Contando todo, el ataque se realiza en pocos minutos.

Dejando por un momento la incapacidad por parte del cliente de Skype para deshacerse adecuadamente del código JavaScript, el problema más grande que demuestra esta PoC es el hecho de que -a pesar de la existencia de la aplicación sandbox del iOS que protege a la mayoría de los archivos en el dispositivo- el archivo de la libreta de direcciones es accesible a todas las aplicaciones instaladas en él.

Esto significa que, en teoría, comprometer cualquiera de estas aplicaciones podría proporcionar la información contenida en el archivo de la libreta de direcciones a los atacantes.

De acuerdo con H-Online, el investigador compartió la información sobre la vulnerabilidad de Skype a fines de agosto, pero, según ha confirmado la compañía, la solución se encuentra todavía en construcción.