Ο επιτιθέμενος μετονομάζει το Skype account του και βάζει κώδικα JavaScript αντί για όνομα. Στη συνέχεια, στέλνει ένα...
μήνυμα στο ανυποψίαστο θύμα και η contact list του τελευταίου μεταφέρεται ως δια μαγείας σε έναν webserver. Τόσο απλά! Δε χρειάζεται καν να πατήσει κάποιο link το θύμα για να ολοκληρωθεί η κλοπή! Δείτε περισσότερα στο video που ακολουθεί.
Η μέθοδος
αυτή εκμεταλλεύεται δύο "τρύπες". Πρώτον, το Skype έχει μια σχεδιαστική
ατέλεια που επιτρέπει τη μη εξουσιοδοτημένη εκτέλεση εντολών JavaScript.
Δεύτερον, το iOS δίνει τη δυνατότητα σε προγράμματα τρίτων κατασκευαστών (Skype κ.α.) να έχουν πρόσβαση στις επαφές του iPhone/iPad. Η εφαρμογή για το Skype είναι ακόμα διαθέσιμη στο App Store. Θα έχει ενδιαφέρον να δούμε πόσο χρόνο θα χρειαστούν οι δύο εταιρείες (Apple και Skype) για να κλείσουν αυτό το σημαντικό κενό ασφαλείας. Πηγή: t3mag.gr |
Πείτε ελεύθερα τη δικιά σας άποψη με τα σχόλια σας