El investigador de la empresa de seguridad AppSec Consulting, Phil Purviance, ha descubierto un fallo de seguridad en Skype 3.0.1 para iOS y versiones anteriores. En el vídeo que encabeza esta noticia, realizado por el propio Phil Purviance, se explica el problema.
El agujero de seguridad posibilita al atacante ejecutar código JavaScript malicioso que se activa cuando la víctima ve un mensaje de chat, permitiendo el robo de información, incluida la libreta de direcciones del usuario.
Que Skype tenga fallos de seguridad no es nuevo, lo que sorprende del caso es que la vulnerabilidad fue notificada a Skype por el citado investigador hace casi un mes y sin embargo no se haya hecho público por parte de Skype.
Existe una vulnerabilidad de Cross-Site Scripting en la ventana “Chat Message” de Skype 3.0.1 y versiones anteriores para iPhone e iPod Touch.
El acceso a los archivos del sistema está mitigado parcialmente por el “sandbox” implementado por Apple, evitando que un atacante pueda acceder a ciertos archivos confidenciales. Sin embargo, todas las aplicaciones de iOS tienen acceso a la libreta de direcciones del usuario y Skype no es una excepción.
Desde Skype aseguran estar trabajando en una solución que esperan lanzar de forma inminente, recomendando mientras precaución a los usuarios, y sugieren que sólo acepten solicitudes de amistad de gente conocida. Este consejo está muy bien, pero hubiera sido conveniente advertir a los usuarios desde el principio y no esperar a que se enteren por la prensa.
Vía | Superevr blog, Techcrunch
Vídeo | Youtube
En Genbeta | Agujero de seguridad en Skype 5.0 para Mac
Ver 8 comentarios