XSS-Sicherheitslücke in iOS-App: Skype will nachbessern

Flavio Trillo
2

Die Sandbox, in der Programme unter iOS laufen, verhindert den Zugang auf “lebenswichtige” Funktionen des mobilen Betriebssystems. Doch alles, worauf eine App zugreifen darf, wie das Adressbuch des Users, steht auch böswilligen Nutznießern einer Sicherheitslücke in der Skype-App* für iPhone und iPod touch offen. Die Entwickler arbeiten bereits an einer Lösung.

Phil Purviance berichtet in seinem Sicherheits-Blog über die Lücke. Der Fehler liege in der Abfrage des “vollen Namens” eines Skype-Kontakts unter iOS. Startet ein Hacker eine Unterhaltung und hat dieser statt seines Namens einen Javascript-Codeschnipsel in das entsprechende Feld eingetragen, fragt die App diesen Code unverändert ab und führt die darin enthaltenen Kommandos aus. Hierzu genügt es, wenn das Opfer die eingehende Nachricht öffnet.

So demonstriert Purviance in einem Video eindrucksvoll, wie er den gesamten Inhalt des Adressbuches eines iPhones abfragen und auf seinen eigenen Server übertragen kann. Das geht natürlich nur, weil auch Skype selbst innerhalb von iOS der Zugriff auf die Kontakte erlaubt ist. Wichtige Systemdateien oder andere wichtige Funktionen bleiben jedoch sowohl Skype als auch dem Eindringling verschlossen.

Wie der Blogger über Twitter bekannt gibt, hat er Skype bereits am 24. August auf das Problem hingewiesen. Man versprach ihm eine schnelle Lösung und ein Update für Anfang September. Die Entwickler teilten nun folgendes mit:

“Wir arbeiten hart daran, die Sicherheitslücke mit der nächsten App-Version zu schließen, die wir hoffentlich sehr bald bereitstellen können. Bis dahin legen wir den Leuten wie immer nahe, Vorsicht im Umgang mit Freundesanfragen von Fremden walten zu lassen und auch sonst einen vernünftigen Umgang mit Internet-Sicherheit zu pflegen.”

Weitere Themen: iOS, Microsoft

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz