[youtube]http://www.youtube.com/watch?v=Ou_Iir2SklI[/youtube]
Am discutat acum cateva saptamani despre un bug al aplicatiei Skype care permite descarcarea agendei de contacte pe terminale Android insa iata ca nici versiunea pentru iOS a aplicatiei nu are parte de o securizare mai buna. Folosind un cod javascript introdus in numele de utilizator, orice hacker ne poate fura agenda de contacte prin simpla trimitere a unui mesaj text in interfata de chat a Skype. In clipul video de mai sus avem exemplificata operatiunea si puteti observa cat de simplu este copiata agenda de contacte din iPhone fara ca utilizatorul sa stie ce se intampla.
If you are using Skype for iPhone or iPod Touch, the Address Book on your device can easily be stolen via a simple chat message. How does it work?: Javascript commands are entered into the user names Skype account, a chat message is sent to the user who is using the newest version of Skype for iPhone, and a program is loaded onto a web server to receive the Address Book content.
Din pacate utilizatorii nu au cum sa se protejeze impotriva unui asemenea atac si nici macar nu ar avea cum sa afle ca intreaga agenda de contacte le-ar fi furata deoarece ei nu au parte de nici un indiciu cu privire la acest lucru. Codul Javascript poate fi introdus de hacker in numele sau de utilizator insa persoana cu care discuta nu are cum sa il vada deci nu stie ca este atacata. Din pacate doar Skype poate proteja utilizatorii impotriva unui asemenea gen de ataca dar compania americana nu a recunoscut problema si nici nu a luat vreo masura pentru a o repara.
