Poucas ferramentas estão imunes a problemas de segurança, ainda mais as que dependem de dados dos utilizadores e têm dados seus à sua guarda.
A mais recente descoberta foi a possibilidade de roubo do livro de endereços dos utilizadores da versão para iOS do Skype. E a forma de realizar esta operação é simples e recorre a um simples XSS (Cross Site Scripting).
De acordo com o que foi mostrado e provado por Phil Purviance, um investigador de segurança da AppSec Consulting, a versão 3.1 do Skype para iOS e as versões anteriores estão vulneráveis a um ataque que permite que seja descarregada a lista de contactos de um qualquer utilizador.
A forma de efectuar este ataque depende de uma falha que existe nestas versões do Skype e que permitem que seja executado código javascript arbitrário. Ao permitirem esta execução, a ferramenta fica exposta e permite que o atacante tenha acesso a um vasto conjunto de informação, incluindo a lista de contactos.
O curioso deste ataque é que basta que o nome do utilizador mal intencionado seja alterado para um conjunto específico de código para que o ataque se dê.
Eis a descrição de Phil Purviance sobre este ataque:
I found that Skype also improperly defines the URI scheme used by the built-in webkit browser for Skype. Usually you will see the scheme set to something like, “about:blank” or “skype-randomtoken”, but in this case it is actually set to “file://”. This gives an attacker access to the users file system, and an attacker can access any file that the application itself would be able to access. File system access is partially mitigated by the iOS Application sandbox that Apple has implemented, preventing an attacker from accessing certain sensitive files. However, every iOS application has access to the users AddressBook, and Skype is no exception.
A resposta da Skype a este problema foi demasiado evasiva e limitaram-se a admitir o problema e a garantir que brevemente irá ser disponibilizada uma nova versão do Skype para iOS, com a correcção deste problema.
We are working hard to fix this reported issue in our next planned release which we hope to roll out imminently. In the meantime we always recommend people exercise caution in only accepting friend requests from people they know and practice common sense internet security as always.
Vejam no vídeo abaixo a forma usada por Phil Purviance para conseguir acesso à lista de contactos.
Segundo foi publicado por Phil Purviance na sua conta do Twitter, este problema foi reportado à Skype há mais de um mês.
Enquanto não surgir uma solução para este problema e a Skype a disponibilize, tenham algum cuidado adicional com os contactos que aceitam e mesmo com os vossos contactos habituais.
A informação que podem aceder com este ataque não é de extrema importância, mas é sempre mais seguro prevenirem-se contra eventuais problemas.