Mac Life Plus
Vorsicht bei merkwürdigen Skype-Namen!

Skype für iOS: XSS-Sicherheitslücke ermöglicht Adressbuch-Diebstahl

Hacker, die in ihrem Skype-Profil statt des Namens eine Befehlskette eintragen, können Zugriff auf die Dateien eines angechatteten Nutzers von Skype für iOS erhalten. Das Opfer muss die Nachricht dafür einfach nur lesen. Dank der Sicherheit von iOS scheint „nur“ das Auslesen des Adressbuchs möglich.

Von   Uhr
(Bild: https://superevr.com/blog/2011/xss-in-skype-for-ios/)

Für das Opfer beginnt die Hacker-Attacke mit einer beliebigen Chat-Nachricht von einem Absender mit merkwürdigem Namen. Zu diesem Punkt kommentiert der Anbieter Skype selbst, jeder Anwender solle nur Kontakte mit persönlich bekannten Nutzern pflegen und, wie im Internet üblich, gesunden Menschenverstand walten lassen. Wer nämlich eine solche Nachricht trotzdem abruft, hat quasi schon verloren.

Von der Redaktion empfohlener Inhalt

An dieser Stelle findest du einen externen Inhalt von YouTube, der den Artikel ergänzt. Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an dritte übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Java-Script-Befehlskette aus dem Namensfeld des Hackers öffnet dem Schadcode auf dem entfernten iOS-Gerät Tür und Tor. Das löchrige Skype für iOS bietet durch seinen URI „File://“ eigentlich beliebigen Dateizugriff. Der Sandkasten, in den iOS die App setzt, erlaubt hingegen nur das Auslesen des Adressbuchs, auf das jede App Zugriff hat. Diese Kontaktdatenbank kann von dem Schadcode auf einen Server hochgeladen werden, von dem sie sich der Hacker zieht.

Hersteller und Anbieter Skype versichert, es werde hart daran gearbeitet, das Problem in der nächsten Version der App zu beheben, die möglichst bald verfügbar gemacht werden soll.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Skype für iOS: XSS-Sicherheitslücke ermöglicht Adressbuch-Diebstahl" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Gast21.09.2011 - 11:01 Uhr

"Für das Opfer beginnt die Hacker-Attacke mit einer beliebigen Chat-Nachricht von einem Absender mit merkwürdigem Namen. Zu diesem Punkt kommentiert der Anbieter Skype selbst, jeder Anwender solle nur Kontakte mit persönlich bekannten Nutzern pflegen und, wie im Internet üblich, gesunden Menschenverstand walten lassen. Wer nämlich eine solche Nachricht trotzdem abruft, hat quasi schon verloren." Es kommt zumindest eine Kontaktanfrage und diese Anfrage will man ja letztendlich nachschauen wer das ist, und wenn dieses nachschauen schon sträflich ist dann sollte der Skype (MS) dringendes nacharbeiten und nicht die Schuld am User suchen, denn in diesem Fall ist der Fehler in Redmond bzw. bei Skype und damit wieder in Redmond. Denn Skype ist jawohl von MS geschluckt worden. Manche Happen sind halt auch mal giftig.

Gast21.09.2011 - 12:59 Uhr

Bei der FB-App war der Adressbuch-Upload noch ein Feature... ;-)

Die Kommentare für diesen Artikel sind geschlossen.