Skype: Schwachstelle in der iOS-App gefunden

In der Skype-App für iPhone und iPod Touch wurde eine Schwachstelle gefunden, über die ein Zugriff auf das Adressbuch möglich ist. Die Entwickler des VoIP-Dienstleisters arbeiten bereits an einer Lösung der Problematik. Ein Adressbuchzugriff soll durch eine Cross-Site-Scripting-Schwachstelle möglich sein. Diesbezüglich könnte ein Angreifer beliebigen JavaScript-Code in der Chat-Ansicht der Anwendung ausführen, sofern sich der Empfänger die Nachricht ansieht.


Aufmerksam wurde auf diese Thematik der Sicherheitsexperte Phil Purviance. Verschiedene Details dazu gehen aus einem zugehörigen Blogbeitrag hervor. Den VoIP-Dienstleister Skype informierte er Ende August über die Sicherheitslücke.

Neben dem angesprochenen Zugriff auf das Adressbuch sei es überdies möglich, unter Umständen auf das Dateisystem zugreifen zu können. Dies hat vorrangig mit einem fehlerhaft definierten URL-Protokoll-Handler in der Web-Ansicht der Anwendung zu tun. Da Apple bei iOS auf eine Sandbox-Technologie setzt, wären die Möglichkeiten für einen Angreifer allerdings sehr stark eingeschränkt, selbst wenn ein Angriff auf diese Weise glücken würde. Der Zugriff auf das Adressbuch soll jedoch ohne größere Umstände möglich sein.

Aus einem veröffentlichten Artikel von 'Techcrunch' geht hervor, dass die Entwickler von Skype bereits an einer Lösung für dieses Problem arbeiten. Die Schwachstell will man mit der nächsten Ausführung der Software dann aus der Welt schaffen, heißt es.

Auf eine ähnliche Schwachstelle wurde der in Berlin ansässige Sicherheitsexperte Levent Kayan im Juli aufmerksam. Theoretisch wäre durch das erfolgreiche Ausnutzen der Lücke ein Zugriff auf den Account des jeweiligen Gesprächspartners möglich gewesen. Kurze Zeit später haben die Entwickler reagiert und die Schwachstelle auf den Skype-Servern geschlossen. Die Installation eines Updates war damals nicht notwendig.