Internet

20/09/2011 17h49 - Atualizado em 18/02/2014 09h00

Falha no Skype para iOS permite roubo de contatos da agenda

Rafael Silva
por
Do Tecnoblog
Skype para iPad (Foto: Divulgação)Skype para iPad (Foto: Divulgação)

Um pesquisador de segurança americano descobriu essa semana uma falha séria de segurança na versão para iOS do conhecido programa de chamadas por VoIP, Skype.

Phil Purviance percebeu que o aplicativo grava uma página HTML com as conversas em texto, só que não codifica bem os elementos da página. Sabendo disso, ele alterou o nome de um contato para exibir um código em iframe que, quando fosse aberto, executasse um arquivo em JavaScript.



O vídeo abaixo mostra que o pesquisador teve sucesso nessa tentativa.


Purviance explica que a falha não é só do Skype, mas da Apple também. Ele diz que, por causa da codificação errada da página HTML com o chat do Skype, é possível acessar a agenda de contatos. Mas isso só é possível porque a Apple não protegeu esse arquivo da agenda como fez com parte do iOS. De fato, qualquer aplicativo instalado no iOS atualmente pode ter acesso ao arquivo da agenda, o que significa que basta uma vulnerabilidade no aplicativo ser encontrada para que uma pessoa maliciosa consiga acesso à todos os contatos e capture seus dados.

O bug foi encontrado neste final de semana, mas nem o Skype nem a Apple liberaram uma correção. Purviance afirma que ele está presente nas versões 3.0.1 (e anteriores) do Skype para iOS, e que pode ser usado contra iPods Touch e iPhones.

Via The Register.

Seja o primeiro a comentar

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.

recentes

populares