Home > Notícias

Falha no Skype para iPhone permite capturar dados do usuário

Segundo pesquisador da AppSec, vulnerabilidade permite que invasores acessem lista de contatos; problema está ligado ao recurso de bate-papo

PC World / EUA

20/09/2011 às 13h40

Foto:

A Skype trabalha para solucionar uma falha de segurança em seu app para iPhone e iPod Touch que permite a um cracker (hacker do mal) roubar toda a agenda de contatos de uma pessoa. Descoberta pelo pesquisador da AppSec, Phil Purviance, a vulnerabilidade está localizada na janela de mensagens de bate-papo do app e pode ser explorada por meio de código JavaScript.

“O Skype usa um arquivo HTML armazenado localmente para exibir mensagens de bate-papo de outros usuários Skype, mas falha em codificar de modo correto o ‘Nome Completo’ do usuário, que envia mensagens, permitindo que um invasor crie um código JavaScript nocivo que roda quando a vítima visualiza a mensagem”, escreveu Purviance em seu blog.

O ponto crucial do problema, segundo o especialista, é uma definição irregular no app do Skype que permite acesso ao sistema local de arquivos do usuário. O pesquisador afirma que a ameaça é parcialmente aliviada por proteções dentro do próprio iOS, mas a lista de contatos continua vulnerável.

Em sua conta no Twitter, Purviance disse ter notificado a empresa sobre a vulnerabilidade em 24/8, e afirma ainda que recebeu uma resposta dizendo que um update com a solução seria lançado no início de setembro.

Uma declaração da Skype confirma que a companhia sabe da existência do problema e vai solucioná-lo “em nosso próximo lançamento planejado, que esperamos lançar muito em breve”, de acordo com a a companhia.

Confira abaixo um vídeo criado por Purviance com uma demonstração de como funciona exatamente a falha no aplicativo.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail