XSS в Skype для IOS

    Если вы используете IOS версию Skype на вашем iPhone или IPod Touch, будьте внимательны: была обнаружена cross-site scripting уязвимость в окне «Chat Message» скайпа версии 3.0.1 и более ранних.

    Дыра позволяет злоумышленникам выполнить вредоносный код JavaScript, который выполняется при просмотре жертвой сообщения чата. Эта уязвимость позволяет кражу информации, например адресную книгу пользователя (см. видео под катом).

    Skype утверждает, что знает о проблеме в безопасности, и заявил следующее:

    «Мы прилагаем все усилия, чтобы устранить эту проблему в нашем следующем релизе, который мы надеемся выпустить в ближайшее время. В то же время, мы как всегда рекомендуем людям проявлять осторожность и принимать запросы от людей, которых они знают, а также не забывать об элементарных правилах безопасности в интернете».

    Первого предложения было бы достаточно, уважаемый Skype.

    Исследователь безопасности Фил Purviance из AppSec Consulting пишет:

    Выполнение произвольного JavaScript кода — это крайне не приятно, но я обнаружил, что Skype также неправильно работает с URI. Обычно вы увидите урл похожий на что-то вроде «about:blank» или «skype-randomtoken», но в данном случае мы видим «file://». Это дает злоумышленнику доступ к файловой системе пользователя, и он может получить доступ к любому файлу, к которому само приложение имеет доступ.
    Доступ к файловой системе частично контролируется песочницей IOS, реализованной Apple, не давая злоумышленнику доступ к важным файлам. Тем не менее, каждое приложение IOS имеет доступ к AddressBook пользователей, и Skype не является исключением.

    В своем Twitter Фил говорит, что он сообщил про эту XSS-уязвимость Skype почти месяц назад.



    Будем надеяться, что вскоре следует ждать обновление, и огласка в СМИ поспособствует этому.

    Комментарии 42

      +17
      Не знаю кто писал версию для iOS, но её качество просто отвратное. Как пример — отображение чата, по какой-то не ведомой причине выводиться вся история сообщений, даже если в ней 1000+ сообщений, для каждого чата. У меня из-за большого количества сообщений в чатах запустить Skype на iPhone просто невозможно, skype тупо выснет, а после переустановки пытается скачать все заново.
        +7
        Скайп вообще выглядит как сырой прототип. Постоянно удивляюсь, как я еще не слез с него.
        • НЛО прилетело и опубликовало эту надпись здесь
            +2
            Нет, совсем не похожая! Вывод сообщений нормальный, чтобы прочитать историю, нужно просто перелистать вверх (и только тогда начнет подгружать историю).

            Приложение вот только вылетает иногда (но редко) при смене контакта/группы.
            • НЛО прилетело и опубликовало эту надпись здесь
                +2
                Под виндой скайп тоже не айс, вся эта реклама, стартовое окошко… под линуксом по-моему удобнее.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Реклама убирается в настройках.
                    0
                    Вы о какой версии? Потому что 2.8 (такая была перед 5ой) в маке выглядит прилично и работает хорошо, даже по сравнению с виндовой.
                    0
                    У меня при запуске скайпа телефон наглухо виснет :) Андроид.
                      0
                      Возможно, т.к. у меня skype используется только на планшете.
                    0
                    не знаю что там с чатом, но разговаривать по скайпу без гарнитуры теперь невозможно — подносишь телефон к уху, гаснет экран и вместе с ним и динамик
                    0
                    будем ждать «ближайшего времени», на ipad то skype практически не плужит.
                      0
                      У меня он дико тупил при первом запуске. Я его оставил на несколько минут, судя по всему он выкачал историю. После того вроде не висит
                        0
                        Обычно в таких случаях я удаляю чат с сообщениями. Главное не заходить внутрь чата.
                        Неоднократно встречался с этим багом.
                          0
                          На maemo таже ситуация. Только конечно не иснет, но сообщения приходят где-то пол часа =D, а то и час, если например ты месяц не выходил в скайп с мобильного. Бесит жутко. Терь боюсь запускать уже.
                          +20
                          Шутка про Microsoft и Skype.
                            +13
                            Серьезный комент про, то что таким образом Microsoft собирает данные пользователей для того, чтобы переманить их на свою платформу.
                              +9
                              Параноидальный комментарий, в котором упоминается готовность Microsoft передать ФСБ шифровальные алгоритмы Skype.
                                +5
                                Комментарий КО, который намекает, что это уже давно сделано, и даже анонимус может покопаться в грязном коде шифрования для скайпа
                                cryptolib.com/ciphers/skype/
                              –1
                              ///
                              +3
                              Хоть убейте, не понял что значит eval(/j.*/(m.location)(0)). Что за "/j.*/"?
                                +1
                                Это регулярное выражение. Конкретно "/j.*/", если я ничего не путаю, выражает любую строку, начинающуся с «j», в том числе одиночный «j».
                                  +3
                                  Скорее, строку в которой есть j, а после j может быть сколько угодно символов или не быть вообще.
                                0
                                Не рекламы ради, но давно пересел на imo.
                                Скайп ещё очень сильно грешит отрисовкой балунов сообщений, из-за чего каждое новое пришедшее сообщение даёт жёсткий завис на 4ом айпонте. Это для меня решающий фактор был.
                                  +2
                                  Поддерживаю, клиент отличный! Начал пользоваться еще на андроиде.
                                  Но для звонков всё равно приходится запускать скайп :(
                                    –1
                                    Если речь об андроиде — то IM+ Pro получше будет, ИМХО
                                      +1
                                      Каждому своё. В пользу imo — веб-клиент и история со всех аккаунтов на сервере. Года два как пересел с миранды, всем доволен. IM+ Pro, догадываюсь, к тому же платный.
                                    0
                                    А как вообще устроен imo? Есть ощущение, что клиент с моим аккаунтом запускается у них на сервере, а дальше уже общается с приложением. Что тоже не здорово.
                                      0
                                      ну, в целом, да, именно так. Тут вопрос доверия к сервису. Я готов довериться им, т.к. они предоставляют тот сервис, что мне нужен — мультиаккаунтовый IM в броузере\мобильных девайсах, где надо 1 раз ввести пароль и залогиниться сразу во все мои IM
                                        0
                                        Спасибо, не знал о таком сервисе. Раньше на мобильнике использовал Нимбаз, да и Фринг подобным образом работал, доверие не подрывали )
                                    +1
                                    Хоть убейте, не понял зачем в скайпе javascipt.
                                      +23
                                      всё становиться лучше, когда в нём есть JavaScript )
                                        +1
                                        что именно?
                                        что бы отобразить сообщение необязательно ведь использовать javascript.
                                        может кто вкурсе для чего он там используется?
                                          +4
                                          Как чистое предположение, возможно запилили интерфейс на html5+js
                                          0
                                          Моя поправлять что это быть про Bluetooth.
                                          +2
                                          Видимо, было лень программировать окошко на obj-c, и решили схалявить — вставили туда готовый компонент — браузер, а интерфейс рисуют хатеэмьэлем. А яваскрипт и доступ к системе отключить забыли.
                                          +2
                                          Картинка оригинально сделана, не поленился же!
                                          А месяц существования уязвимости для подобной программы чревато последствиями. Как говорится, пользоваться ей будут до «первого взлома» аккаунта. Всё же аналоги есть, но не популярны вовсе.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              0
                                              У вас есть лишние? Могу подсказать способ как это исправить.
                                              –3
                                              Промт-перевод статьи с Техкранча. Оригинал и то легче читать.
                                                0
                                                Вышло обновление, с фиксом XSS! И наконец-то новый и удобный интерфейс.

                                                Changelog: img843.imageshack.us/img843/8421/img0128.png

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое