В приложении Skype для смартфонов iPhone обнаружена уязвимость, которая позволяет потенциальным злоумышленникам просмотреть адресную книгу жертвы. Об уязвимости рассказал в своем блоге Фил Пёрвиэнс (Phil Purviance), эксперт по компьютерной безопасности из компании AppSec Consulting.
Пёрвиэнс уточнил, что речь идет о так называемом "межсайтовом скриптинге" (XSS). Вредоносный код запускается, когда пользователь открывает в чате входящее сообщение от хакера. После этого содержимое адресной книги копируется на сервер злоумышленника.
Уязвимость имеется как в последней (3.0.1), так и в более ранних версиях Skype для платформы iOS. Присутствует ли она в версии Skype для планшетов iPad, которая вышла в августе, не уточняется.
Исследователь также рассказал в своем микроблоге, что обнаружил уязвимость в августе и сообщил о ней в Skype, однако сервис интернет-телефонии не устранил ее до сих пор. Представители Skype, в свою очередь, в интервью TechCrunch заявили, что знают об уязвимости и намерены ликвидировать ее в ближайшее время.
В апреле более серьезная уязвимость была выявлена в версии Skype для Android. Она давала злоумышленникам доступ к переписке пользователя. "Дыра" была устранена в течение нескольких дней.