iOS-Skype: Schwachstelle ermöglicht Adressbuchzugriff

Ein Sicherheitsforscher demonstriert das Auslesen des iOS-Adressbuchs nach Empfang einer manipulierten Textnachricht in der Skype-App für iPhone und iPod touch – der VoIP-Anbieter hat bereits ein Update in Aussicht gestellt.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Leo Becker

In der iOS-App von Skype gibt es ein Sicherheitsproblem, über das sich das Adressbuch auf iPhone und iPod touch auslesen lässt. Einem Angreifer sei es durch eine Cross-Site-Scripting-Schwachstelle möglich, beliebigen JavaScript-Code in der Chat-Ansicht der App auszuführen, sobald ein Nutzer die Nachricht ansieht, erklärt der Sicherheitsforscher Phil Purviance. Zudem verwende die in der Skype-App integrierte Web-Ansicht einen "unsachgemäß definierten URL-Protokoll-Handler" und erlaube darüber Zugriff auf das Dateisystem. Zwar hat der Angreifer durch das iOS-App-Sandboxing nur sehr eingeschränkte Möglichkeiten, doch kann jede iOS-App ohne Rückfrage auf das Adressbuch des Nutzers zugreifen – Purviance demonstriert das Übertragen des iOS-Adressbuchs nach dem Ansehen einer manipulierten Skype-Nachricht in einem Video. Die Schwachstelle betrifft angeblich die Skype-App für iPhone und iPod touch bis hin zur aktuellen Version 3.0.1.

Skype will das Problem laut einer TechCrunch vorliegenden Stellungnahme in Kürze mit einer neuen Version beseitigen. Der Sicherheitsforscher hatte den VoIP-Dienst nach eigener Angabe bereits Ende August über diese Sicherheitslücke in Kenntnis gesetzt. Die Skype-Programmversionen für Windows und Mac OS X wiesen in jüngster Zeit ebenfalls Cross-Site-Scripting-Schwachstellen auf, die unter anderem einen Account-Diebstahl ermöglichten. (lbe)