Vulnerabilidad Grave en Skype para iOS
Vulnerabilidad Delicada en Skype para iOS
Es necesario tomar las precauciones debidas todos los que utilizan Skype. No se trata de simples problemas por lanzar una aplicación de su servicio para el iPad, ni siquiera hablamos de una versión de escritorio que ha recibido muchas quejas de usuarios a los que no gusta una interfaz mal diseñada ni con usabilidad, hablamos de un problema serio de seguridad encontrado en su aplicación para iOS (versiones 3.0.1 en adelante).
Tal como han advertido en TechCrunch, hay una forma muy simple por la que un individuo malintencionado podría extraer todos los contactos de la agenda del iPhone o el iPad a un usuario cualquiera. La vulnerabilidad XSS se produce en el chat de Skype, de modo que con la ejecución de un simple código JavaScript el inocente propietario del dispositivo expondría sin querer información privada.
Una investigación detallada por parte de Phil Purviance de la empresa de seguridad AppSec Consulting ha hallado el origen de esta vulnerabilidad, un descuido en el navegador integrado de la app. La URI inicial de este navegador no está fijado a valores habituales y sin peligro, sino que se establece en “file://”.
Es una referencia al directorio raíz de la aplicación de Skype. Una persona con conocimientos informáticos puede ejecutar código JavaScript y con ello tendría acceso a la información personal y comprometerla.
El uso del sandbox en iOS por parte de Apple, técnica que considera a cada aplicación una isla de software separada del resto, mitiga los efectos de este descuido al poner barreras a la información que cada software puede extraer del resto o del sistema. Sin embargo, este método no obstaculiza el acceso a la Agenda del usuario, pues esa es una zona que se habilita para cualquier aplicación que la necesite. Siendo esta la forma nativa del funcionamiento de los iPhones, iPod Touch e iPad.
¿Cómo se Soluciona el problema?
Individualmente, y como dicen los desarrolladores de la compañía ahora en manos de Microsoft, lo mejor es no aceptar conversaciones con desconocidos. (Recuerden es Microsoft…).
Aunque nosotros vamos un paso más allá solicitando que actualicen la App cuanto antes para que esto no ocurra. Esperemos que no sea tarde para eso.
Fuente: appleweblog
Espero que esta información sea de gran utilidad.
Reciban un afectuoso Saludo de Victor Miranda
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx