iOS-Skype angreifbar. Nachsitzen ist überfällig.
A Cross-Site Scripting vulnerability exists in the „Chat Message“ window in Skype 3.0.1 and earlier versions for iPhone and iPod Touch devices. Skype uses a locally stored HTML file to display chat messages from other Skype users, but it fails to properly encode the incoming users „Full Name“, allowing an attacker to craft malicious JavaScript code that runs when the victim views the message.
Die Skype-Schwachstelle unter iOS, die im schlimmsten Fall das Adressbuch entwendet (Stichwort: Sandbox), ist unschön. Insbesondere weil das Sicherheitsproblem (laut Phil Purviance) der Microsoft-Tochterfirma seit dem 24. August bekannt ist.
Erwähnenswert in diesem Zusammenhang: Drittanbieter-Apps können weiterhin ohne Einschränkung und ohne eine verpflichtende Benachrichtigung ihrer Nutzer auf dessen persönliche Kontaktliste zugreifen. Einige Anwendungen fragen vor dieser Verwendung eigenständig nach – bindend ist das jedoch nicht.
In iOS 5 feinjustiert Apple erneut die Einstellungen für Ortungsdienste. Der Zugriff auf das Adressbuch bleibt allerdings auch im kommenden Update immer noch ‚unreguliert‘. Das gilt es zu ändern!