WTF iphone
Skype for iOS
ipod touch

SkypeはiOSアプリのXSS(クロスサイトスクリプティング)脆弱性を認識, "懸命に修復中"

次の記事

シリコンバレーでMEGA Startup Weekendが開催: ゲーム、医療、教育の3カテゴリーで勝者が決定

skype xss

iPhoneやiPod touchでSkype for iOSを使ってる人たちに警告だ: Skypeのバージョン3.0.1とそれ以前のバージョンでは、”Chat Message”ウィンドウに、クロスサイトスクリプティングにやられる危険性がある。

このセキュリティホールにより、ユーザがチャットのメッセージを見ているときに、悪い人が仕掛けたJavaScriptのコードが実行され、ユーザのアドレス帳などの情報の窃盗に遭う可能性もある(下のビデオ)。

Skypeによれば、同社はすでにこのセキュリティ問題を認識しており、以下のような声明を発表している:

“この報告された問題を次期リリースバージョンにおいて目下懸命に修復中であり、修復結果を早急にご提供したいと願っております。それまでの間、みなさまにご推奨申し上げたいのは、知らない人からのフレンドリクエストは受け入れないことと、常識の範囲内でのインターネットのセキュリティをいつものように実行していただきたい、ということです。”

この声明文の最初のセンテンスは、いつものSkypeのように“上から目線”でないから、いいよね。

AppSec Consultingのセキュリティ研究家Phil Purviance(下のビデオの作者)は、こう言っている:

JavaScriptのコードが勝手に実行されてしまうのももちろん問題だが、私の所見によれば、Skype内蔵のWebkit使用ブラウザが使っているURIのスキームを、Skypeは不正に定義している。通常、そのスキームは、”about:blank”や”skype-randomtoken”といった形であるはずだが、今回のケースでは実際には”file://”になっている。これにより犯人はユーザのファイルシステムにアクセスでき、アプリケーションがアクセスできるどんなファイルにもアクセスできることになる。

ファイルシステムへのアクセスは、iOSのアプリケーションが持つサンドボックス性によって部分的には軽減され、犯人は一部の機密ファイルにアクセスできない。しかしながら、iOSのアプリケーションはどれでも、ユーザのAddressBookにアクセスでき、Skypeもその例外ではない。

PurvianceはTwitterで、彼がSkypeのXSS(クロスサイトスクリプティング)の脆弱性を指摘したのは、1か月近くも前だ、と言っている。

彼によって事実がメディアに知れ渡った以上、修復を急いでほしいね。

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))