iOS版Skype漏洞將導(dǎo)致用戶手機(jī)通訊錄泄露

北京時間9月20日晚間消息，有報道稱，iOS版Skype的一個漏洞將導(dǎo)致用戶的手機(jī)通訊錄泄露。Skype表示，已知道并正在修復(fù)這一漏洞。

如果用戶使用3.0.1或更老版本的iOS版Skype，那么將會受這一跨站腳本漏洞的影響。通過該漏洞，當(dāng)用戶查看聊天信息時，攻擊者將可以執(zhí)行惡意的JavaScript代碼，從而導(dǎo)致包括手機(jī)通訊錄在內(nèi)的用戶信息泄露。

Skype在一份公告中表示：“我們正努力在下一版應(yīng)用中解決這一已被報告的問題，我們希望能立即推出下一版應(yīng)用。與此同時，我們建議用戶保持警惕，只接受來自熟人的好友請求，并采取一些常見的互聯(lián)網(wǎng)安全措施。”

AppSec Consulting信息安全研究員菲爾·普韋恩斯(Phil Purviance)表示：“執(zhí)行特定的JavaScript代碼是一方面。我還發(fā)現(xiàn)，在內(nèi)建的webkit瀏覽器中，Skype不恰當(dāng)?shù)囟x了URI方案。原本的設(shè)置應(yīng)為‘about:blank’或‘skype-randomtoken’，但實(shí)際上卻成為‘file://’。這將使攻擊者可以進(jìn)入用戶的文件系統(tǒng)，也可以獲取應(yīng)用本身可獲取的文件。”

他指出：“iOS應(yīng)用沙箱能部分地解決文件系統(tǒng)的問題，防止攻擊者獲取特定的敏感文件。然而，所有iOS應(yīng)用都可以獲取用戶的通訊錄，而Skype也不例外。”普韋恩斯在Twitter上表示，他在近1個月之前就向Skype報告了這一漏洞。