La aplicación de Skype para iOS tiene una vulnerabilidad que permite a un hacker acceder a nuestra libreta de direcciones a través de código JavaScript.
Aunque Skype acaba de lanzar la nueva beta 5.4 de su programa para Mac, parece que es la aplicación para iOS la que necesita urgentemente una revisión de seguridad.
La vulnerabilidad, localizada en la ventana de chat de la aplicación, puede ser explotada con código JavaScript, y fue descubierta por Phil Purviance, de AppSec.
“Skype usa un archivo HTML almacenado localmente para mostrar los mensajes de chat de otros usuarios de Skype, pero falla en la codificación correcta del nombre completo del usuario entrante, permitiendo a un atacante incluir código JavaScript malicioso que se activa cuando el usuario lee el mensaje”.
El corazón del problema, según Purviance, es una falta de definición en la aplicación de Skype que permite al usuario acceder al sistema de archivos locales.
Sin embargo, en Skype no parecen muy apresurados en solucionar esta vulnerabilidad. En un tweet, Purviance comentaba que había notificado a Skype del problema el día 24 de agosto, y le dijeron que habría una actualización de seguridad en los primeros días de septiembre.
Un comunicado de Skype confirma que la compañía está alertada del problema y que lo arreglarán “en su próxima actualización, que esperamos lanzar de forma inminente”.
Puedes ver una demostración exacta de cómo funciona este problema de seguridad en un vídeo que el propio Purviance ha subido a Youtube.
[youtube width=”300″ height=”250″]http://www.youtube.com/watch?v=Ou_Iir2SklI&feature=player_embedded[/youtube]