Skype : une vulnérabilité découverte sur iOS

0
008C000003711620-photo-skype-logo-mac-mikeklo.jpg
Une nouvelle vulnérabilité a été découverte au sein de l'application Skype pour iOS. Celle-ci permettrait d'effectuer une attaque de type cross-scripting.

Découverte par Phil Purviance, chercheur en sécurité au laboratoire AppSec Consulting, la faille permet d'injecter un code malveillant en exploitant la fenêtre de conversation sur l'iPhone ou l'iPod Touch. Il est ainsi expliqué que pour retourner la conversation avec l'un de ses contacts, Skype utilise un simple document HTML. Cependant la société n'aurait pas correctement encodé le nom et le prénom des utilisateurs. Il serait alors possible de remplacer ces derniers par un code Javascript.

M. Purviance ajoute que Skype n'a pas correctement défini l'URI du navigateur basé sur WebKit et intégré à l'application Skype. En effet, ce dernier pointerait simplement vers le chemin « file:// » et, en quelque sorte, inviterait donc le hacker à accéder au système de fichiers et à naviguer simplement les données stockées sur le téléphone. S'il est vrai que chaque application est sécurisée par un système de bac à sable (sandboxing), les applications ont cependant accès au carnet d'adresses.

Une vidéo de démonstration est disponible sur cette page.

00C8000004598164-photo-vuln-rabilit-skype.jpg
00C8000004598166-photo-vuln-rabilit-skype.jpg
00C8000004598168-photo-vuln-rabilit-skype.jpg
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page