Skype for iOSにXSS脆弱性、アドレス帳を盗むことも可能 - うさぎ文学日記(情報元のブックマーク数)
なんと、Skype for iOSにクロスサイトの脆弱性があって、チャットメッセージ内で攻撃できるそうだ。
iPhone/iPod Touch用の Skype 3.0.1以前にはチャットメッセージのウインドウにクロスサイトスクリプティング(XSS)の脆弱性があると、AppSec Consultingのセキュリティ研究者Phil Purviance氏が公開しています。
Skype for iOSにXSS脆弱性、アドレス帳を盗むことも可能 - うさぎ文学日記
ユーザーの”名前”欄に悪意のあるJavaScriptを仕込むことで、チャットメッセージを表示する箇所で攻撃することが可能なようです。攻撃の際のURI schemeに”file://” を使うことで、攻撃者はユーザーのファイルシステムにアクセスして、アドレス帳の情報を盗むことができるとのこと。