Skype: Schwere Sicherheitslücke ermöglicht entfernten Vollzugriff auf das iPhone-Adressbuch

Wie viele andere iPhone-Applikationen besitzt auch die iOS-Version des Instant Messengers und VoIP-Chats Skype (AppStore-Link) die Berechtigung auf das iPhone-Adressbuch zuzugreifen. Ein Privileg, das sich von böswilligen Angreifern mit wenig Aufwand ausnutzen lässt. So informiert der Security-Spezialist Phil P. auf seiner Webseite SuperEVR derzeit über eine Cross-Site Scripting Schwachstelle in der aktuellen iOS-Version der Skype-Applikation.

Mit Hilfe eines nicht sonderlich komplizierten Angriffs lässt sich die iPhone-Ausgabe der Skype-Anwendung dazu überreden, den kompletten Inhalt des iPhone-Adressbuchs preiszugeben und überträgt diesen, sobald der Angreifer dies instruiert, auch auf einen entfernten Server.

Die in diesem Youtube-Video demonstrierte Attacke ist schnell beschrieben: Der Angreifer, nennen wir ihn Bob, muss nur eine initiale Chat-Nachricht an euer Gerät senden, in der sein Nutzer-Name durch einen speziell vorbereiteten Code-Schnipsel ersetzt wird. Schlägt die Nachricht auf eurem Gerät ein, sendet das iPhone sein komplettes Adressbuch – in diesem Fall die SQLite-Datenbank der Kontakt-Daten – auf Bobs Server.

Skype uses a locally stored HTML file to display chat messages from other Skype users, but it fails to properly encode the incoming users „Full Name“, allowing an attacker to craft malicious JavaScript code that runs when the victim views the message.

Wer auf „Nummer Sicher“ gehen will, verzichtet bis zur Veröffentlichung des nächsten Skype-Updates komplett auf den Messenger. Ein bisschen gedulden werdet ihr euch jedoch noch müssen. Skype selbst ist bereits seit dem 24. August im Bilde, hat das eigentlich für Anfang September versprochene Update jedoch noch nicht veröffentlicht.