[youtube]http://www.youtube.com/watch?v=Ou_Iir2SklI[/youtube]
Hace unas semanas hablamos de un error en la aplicación Skype que permite descargar la agenda de contactos en terminales Android, pero la versión iOS de la aplicación tampoco cuenta con mejor seguridad. Utilizando un código javascript introducido en el nombre de usuario, cualquier hacker puede robar nuestra agenda de contactos simplemente enviando un mensaje de texto en la interfaz de chat de Skype. En el vídeo de arriba hemos ejemplificado el funcionamiento y podéis ver lo sencillo que se copia la libreta de contactos del iPhone sin que el usuario sepa lo que está pasando.
Si está utilizando Skype para iPhone o iPod Touch, la libreta de direcciones de su dispositivo puede ser robada fácilmente mediante un simple mensaje de chat. ¿Cómo funciona?: Los comandos de Javascript se ingresan en los nombres de usuario de la cuenta de Skype, se envía un mensaje de chat al usuario que está usando la versión más reciente de Skype para iPhone y se carga un programa en un servidor web para recibir la libreta de direcciones. feliz
Desafortunadamente, los usuarios no tienen forma de protegerse contra un ataque de este tipo y ni siquiera tendrían forma de descubrir que les robaron toda su libreta de contactos porque no tienen ni idea de ello. El hacker puede introducir el código Javascript en su nombre de usuario, pero la persona con la que está hablando no tiene forma de verlo, por lo que no sabe que está siendo atacado. Desafortunadamente, sólo Skype puede proteger a los usuarios contra este tipo de ataques, pero la compañía estadounidense no reconoció el problema y no tomó ninguna medida para solucionarlo.
