Apple Fan Boy

jueves, 22 de septiembre de 2011

Encontrada vulnerabilidad grave en Skype para iOS


Malas noticias para los chicos de Skype, quienes parecen no haber salido de una para meterse de cabeza en otra. No os hablamos de sus problemas iniciales por lanzar una aplicación de su servicio para el iPad, ni siquiera hablamos de una versión de escritorio que ha recibido muchas quejas de usuarios a los que no gusta una interfaz mal diseñada, os hablamos de un problema serio de seguridad encontrado en su aplicación para iOS(versiones 3.0.1 en adelante).
Tal como han advertido en TechCrunch, hay una forma muy simple por la que un individuo malintencionado podría extraer todos los contactos de la agenda del iPhone o el iPad a un usuario cualquiera. La vulnerabilidad XSS se produce en el chat de Skype, de modo que con la ejecución de un simple código JavaScript el inocente propietario del dispositivo expondría sin querer información privada.
Una investigación detallada por parte de Phil Purviance de la empresa de seguridad AppSec Consulting ha hallado el origen del agujero, un descuido en el navegador integrado de la app. La URI inicial de este navegador no está fijado a valores habituales y sin peligro, sino que se establece en “file://”. Es una referencia al directorio raíz de la aplicación de Skype. Una persona con conocimientos informáticos que ejecutase el código JavaScript adecuado tendría entonces acceso en potencia a información personal comprometedora.
El uso del sandbox en iOS por parte de Apple, técnica que considera a cada aplicación una isla de software separada del resto, mitiga los efectos de este descuido al poner barreras a la información que cada software puede extraer del resto o del sistema. Sin embargo, este método no obstaculiza el acceso a la Agenda del usuario, pues esa es una zona que se habilita para cualquier aplicación que la necesite.
¿Formas de solucionar el problema? Individualmente, y como dicen los desarrolladores de la compañía ahora en manos de Microsoft, lo mejor es no aceptar conversaciones con desconocidos. Aunque nosotros vamos un paso más allá solicitando que actualicen la app cuanto antes para que esto no ocurra. Pedimos una puesta al día con urgencia, una nueva versión que parece tardar, pues en Skype están informados de la circunstancia desde hace un mes y aún no se ha visto corregida la circunstancia, pese a haber prometido una solución en breve.

No hay comentarios: