• Yamha
  • Ứng dụng Skype cho iOS dính lỗ hổng bảo mật

    08:1921/09/2011

    Ứng dụng Skype cho hệ điều hành iOS mới mắc phải lỗ hổng nghiêm trọng có thể khiến tin tặc tấn công và đánh cắp dữ liệu cá nhân của người sử dụng.

     

    Skype, iOS, iPhone 
    Ứng dụng Skype cho iOS dính lỗ hổng bảo mật Cross-Site Scripting

    Lỗ hổng Cross-Site Scripting xuất hiện trong cửa sổ "Chat Message" trong Skype 3.0.1 và các phiền bản trước đó dành cho iPhone và iPod Touch.

    Tin tặc có thể sẽ lợi dụng lỗ hổng này tạo ra một mã JavaScript để đánh cắp thông tin trong danh bạ khi người dùng gửi đi một tin nhắn. Khi người dùng gửi đi một tin nhắn chat, họ sẽ vô tình nhập các lệnh Javascript vào username của tài khoản Skype. Mã này sẽ giúp tin tặc truy cập bất kỳ một tập tin nào mà ứng dụng Skype truy cập được bao gồm cả danh bạ điện thoại trền iPhone.

    Nguyền nhân của tình trạng này là do Skype sử dụng một tập tin lưu trữ HTML để hiển thị các tin nhắn chat từ những người dùng Skype khác, nhưng nó không mã hóa đúng cách tền đầy đủ (Full name) của người sử dụng, từ đó cho phép tin tặc thực thi những mã JavaScript độc hại khi họ xem tin nhắn. 

    Không những thực thi lệnh Javascript một cách tùy tiện, Skype còn xác định không đúng chương trình URI được sử dụng bởi các trình duyệt web-kit được xây dựng cho Skype. Thông thường, chương trình sẽ thiết lập “About:blank” hoặc "skype-randomtoken", nhưng trong trường hợp này nó chỉ để thiết lập "file ://". Điều này cho phép kẻ tấn công truy cập file hệ thống của người dùng, và hacker có thể truy cập bất kỳ tập tin nào mà bản thân ứng dụng đó có thể truy cập được.

    Việc truy cập vào file hệ thống đã được ngăn chặn phần nào nhờ ứng dụng iOS sandbox mà Apple cung cấp, ứng dụng giúp ngăn chặn kẻ tấn công truy cập vào một số tập tin nhạy cảm. Tuy nhiền tất cả các ứng dụng iOS đều có khả năng truy cập vào danh bạ liền lạc người dùng, và Skype không là ngoại lệ.

    Skype hiện đã ghi nhận lỗ hổng này và hứa hẹn sẽ khắc phục trong bản cập nhật tiếp theo. Cùng xem video dưới đây để biết rõ hơn về quá trình tấn công của tin tặc và cảnh giác khi gửi các tin nhắn chat qua Skype.

     
     

    Bỏng Ngô





    Gửi nhận xét về bài viết:
    Họ tên:    Email:
    Nội dung:
    • DTTD