A falha, um bug de XSS (cross-site scripting) foi descoberta por Phil Purviance, um consultor de segurança. O funcionamento é bem simples: Uma mensagem enviada via Skype contendo um iFrame carrega automaticamente um bloco de código remoto, executa com privilégio e pwna seu iPad ou iPhone completamente.
No vídeo acima ele demonstra como é possível roubar todo o banco de dados da agenda de telefones do iPhone de alguém, apenas enviando uma mensagem no Skype.
O mais assustador é que não é preciso nenhuma ação por parte do usuário, exceto aceitar uma chamada de chat de um desconhecido, o que pode ser inevitável, se o desconhecido se chamar Megan Fox.
Em teoria o modelo de sandbox do iOS deveria prevenir maiores danos, mas há arquivos que são globais, como a Agenda de Telefones, que pode ser bem valiosa. Imagine o DEA colocando as mãos na agenda da Lindsay Lohan, por exemplo.
Phil comunicou o bug ao departamento competente (?!) da Skype mês passado, que prometeu postar uma correção o quanto antes. Estamos esperando.
Fonte: iPhone Hacks
Nenhum comentário:
Postar um comentário