{"id":25056,"date":"2011-09-21T00:25:35","date_gmt":"2011-09-20T22:25:35","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=25056"},"modified":"2011-09-21T09:54:28","modified_gmt":"2011-09-21T07:54:28","slug":"skype-sicherheitsluecke-iphone","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/skype-sicherheitsluecke-iphone-25056\/","title":{"rendered":"Skype: Schwere Sicherheitsl\u00fccke erm\u00f6glicht entfernten Vollzugriff auf das iPhone-Adressbuch"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2011\/09\/skypebug.jpg\" alt=\"\" title=\"skypebug\" width=\"200\" height=\"151\" class=\"alignright size-full wp-image-25057\" \/>Wie viele andere iPhone-Applikationen besitzt auch die iOS-Version des Instant Messengers und VoIP-Chats <strong>Skype<\/strong> (<a rel=\"noindex, nofollow\" href=\"http:\/\/www.ifun.de\/app\/304878510\">AppStore-Link<\/a>) die Berechtigung auf das iPhone-Adressbuch zuzugreifen. Ein Privileg, das sich von b\u00f6swilligen Angreifern mit wenig Aufwand ausnutzen l\u00e4sst. So informiert der Security-Spezialist <a href=\"https:\/\/twitter.com\/#!\/superevr\">Phil P.<\/a> auf seiner Webseite <a href=\"https:\/\/superevr.com\/blog\/2011\/xss-in-skype-for-ios\/\">SuperEVR<\/a> derzeit \u00fcber eine <a href=\"http:\/\/de.wikipedia.org\/wiki\/Cross-Site_Scripting\">Cross-Site Scripting<\/a> Schwachstelle in der aktuellen iOS-Version der Skype-Applikation. <\/p>\n<p>Mit Hilfe eines nicht sonderlich komplizierten Angriffs l\u00e4sst sich die iPhone-Ausgabe der Skype-Anwendung dazu \u00fcberreden, den kompletten Inhalt des iPhone-Adressbuchs preiszugeben und \u00fcbertr\u00e4gt diesen, sobald der Angreifer dies instruiert, auch auf einen entfernten Server. <\/p>\n<p><!--more--><\/p>\n<p><div class=\"responsive-video\"><iframe loading=\"lazy\" width=\"464\" height=\"266\" src=\"http:\/\/www.youtube-nocookie.com\/embed\/Ou_Iir2SklI\" frameborder=\"0\" allowfullscreen><\/iframe><\/div><\/p>\n<p>Die in <a href=\"http:\/\/www.youtube.com\/watch?v=Ou_Iir2SklI&#038;feature=player_embedded\">diesem Youtube-Video<\/a> demonstrierte Attacke ist schnell beschrieben: Der Angreifer, nennen wir ihn Bob, muss nur eine initiale Chat-Nachricht an euer Ger\u00e4t senden, in der sein Nutzer-Name durch einen speziell vorbereiteten Code-Schnipsel ersetzt wird. Schl\u00e4gt die Nachricht auf eurem Ger\u00e4t ein, sendet das iPhone sein komplettes Adressbuch &#8211; in diesem Fall die SQLite-Datenbank der Kontakt-Daten &#8211; auf Bobs Server.<br \/>\n<!--more--><\/p>\n<blockquote><p>Skype uses a locally stored HTML file to display chat messages from other Skype users, but it fails to properly encode the incoming users &#8222;Full Name&#8220;, allowing an attacker to craft malicious JavaScript code that runs when the victim views the message.<\/p><\/blockquote>\n<p>Wer auf &#8222;Nummer Sicher&#8220; gehen will, verzichtet bis zur Ver\u00f6ffentlichung des n\u00e4chsten Skype-Updates komplett auf den Messenger. Ein bisschen gedulden werdet ihr euch jedoch noch m\u00fcssen. Skype selbst ist bereits <a href=\"https:\/\/twitter.com\/#!\/superevr\/status\/115923635734200320\">seit dem 24. August<\/a> im Bilde, hat das eigentlich f\u00fcr Anfang September versprochene Update jedoch noch nicht ver\u00f6ffentlicht. <\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.iphone-ticker.de\/skype-sicherheitsluecke-iphone-25056\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2011\/09\/skypebug-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Wie viele andere iPhone-Applikationen besitzt auch die iOS-Version des Instant Messengers und VoIP-Chats Skype (AppStore-Link) die Berechtigung auf das iPhone-Adressbuch zuzugreifen. Ein Privileg, das sich von b\u00f6swilligen Angreifern mit wenig Aufwand ausnutzen l\u00e4sst. So informiert der Security-Spezialist Phil P. auf seiner Webseite SuperEVR derzeit \u00fcber eine Cross-Site Scripting Schwachstelle in der aktuellen iOS-Version der Skype-Applikation. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":25057,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[749],"tags":[936,666,3914,70,229,238,90,75],"class_list":["post-25056","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iphone-2","tag-adressen","tag-app-store","tag-apps","tag-bug","tag-kontakte","tag-security","tag-sicherheit","tag-skype"],"aioseo_notices":[],"rest_api_enabler":[],"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/25056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=25056"}],"version-history":[{"count":7,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/25056\/revisions"}],"predecessor-version":[{"id":25070,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/25056\/revisions\/25070"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/25057"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=25056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=25056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=25056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}