QR code per la pagina originale

Skype, grave falla nella versione per iOS

Un dannoso codice Javascript può essere attivato tramite l'invio di un semplice messaggio di chat sulla versione per iOS di Skype.

,

È stata scoperta una nuova grave vulnerabilità nei sistemi di sicurezza della versione per dispositivi iOS di Skype, il noto servizio VoIP da alcuni mesi sotto proprietà Microsoft. Data la gravità del problema è ipotizzabile una patch in rilascio entro breve tempo, a risoluzione di una situazione altrimenti particolarmente pericolosa per l’utenza.

Secondo quanto emerso trattasi di una falla di tipo cross-site scripting che consente il furto di tutto il contenuto della rubrica semplicemente tramite l’invio di un messaggio di chat. Il problema appare pertanto piuttosto preoccupante, perché basta inviare un messaggio di chat attraverso la versione 3.0.1 (o precedente) per iPhone/iPod/iPad per eseguire un codice Javascript in grado di rubare informazioni sensibili all’utente, come le rubriche memorizzate nel terminale o altro ancora.

La causa sarebbe imputabile sia al servizio client sia al sistema operativo iOS. Nel primo caso infatti Skype non ha mai considerato seriamente la possibilità di impedire che vengano eseguiti codici Javascript quando vengono inviati messaggi sottoforma di chat.

iOS dal canto suo lascia che la rubrica sia di default accessibile a qualsiasi programma e dunque, nel caso si verificassero situazioni come quella che sta colpendo Skype in queste ore, allora il rischio che tali informazioni possano essere sottratte da malintenzionati si farebbero molto elevate. Skype sta comunque lavorando su una soluzione che possa tappare la falla in tempi brevi. Nel frattempo, l’applicazione sarà indisponibile fino a quando non saranno risolte le magagne che mettono in questo frangente in serio pericolo la privacy degli utenti utilizzanti il client vulnerabile.

Fonte: Appleheadlines • Notizie su: