26.September 2011
Voice over IP / VoIP
Weitere Artikel zum Thema Voice over IP / VoIP:
« Sitzt der Skype-Erpresser in der Video-Falle? | Skypen auf dem Android »
Hat Skype ein Problem auf dem iPhone?
Sämtliche Adressen vom iPhone oder iPod touch können, aufgrund der Sicherheitslücke in der iOS-App von Skype, auf einen Server übertragen werden. Die Lücke wurde von Skype noch nicht geschlossen.
Die Cross-Site-Scripting-Schwachstelle ermöglicht Angreifern das Auslesen der Adressbücher vom iPhone und iPod touch.
Die Sandbox, in der Programme unter iOS laufen, verhindert normalerweise den Zugang zu wesentlichen Funktionen des mobilen Betriebssystems.
Durch die Sicherheitslücke wird es Angreifern nun jedoch ermöglicht, auf Adressbücher von Nutzern zuzugreifen, so wie Apps es gewöhnlich dürfen.
Wo liegt die Sicherheitslücke?
Der Fehler steckt in der Abfrage des "vollen Namens". Beginnt ein Angreifer eine Unterhaltung auf dem iPhone per Skype und gibt statt seines Namens einen Javascript-Code-Schnipsel in das entsprechende Feld ein, wird der Code ohne Rückfrage abgefragt.
Die im Code enthaltenen Kommandos werden vom iOS-App ohne weitere Überprüfung ausgeführt.
Sieht ein Skype-Nutzer die manipulierte Nachricht an, kann jeder JavaScript-Code in der Chat-Ansicht der App ausgeführt werden.
Es kann soweit kommen, dass sich das iPhone weitere Steuerbefehle von einem Server lädt und daraufhin das gesamte Adressbuch zurückschickt.
Wann wird die Sicherheitslücke von Skype behoben?
Der Sicherheitsforscher hat den VoIP-Dienst Skype bereits Ende August auf die Lücke hingewiesen.
Der VoIP-Anbieter hat zugesagt, an einer schnellen Lösung zu arbeiten. Anfang September sollte bereits ein neues Update die Lücke beheben.
Aufgrund der Verzögerung veröffentlichten die Entwickler eine Stellungnahe.
Darin wurde bekannt gegeben, dass die Sicherheitslücke in der nächsten App-Version behoben wird und bis dahin empfohlen wird, vorsichtig mit Freundesanfragen von Fremden umzugehen und auch ansonsten einen vernünftigen Umgang mit der Internetsicherheit zu pflegen.
Die Cross-Site-Scripting-Schwachstelle ermöglicht Angreifern das Auslesen der Adressbücher vom iPhone und iPod touch.
Die Sandbox, in der Programme unter iOS laufen, verhindert normalerweise den Zugang zu wesentlichen Funktionen des mobilen Betriebssystems.
Durch die Sicherheitslücke wird es Angreifern nun jedoch ermöglicht, auf Adressbücher von Nutzern zuzugreifen, so wie Apps es gewöhnlich dürfen.
Wo liegt die Sicherheitslücke?
Der Fehler steckt in der Abfrage des "vollen Namens". Beginnt ein Angreifer eine Unterhaltung auf dem iPhone per Skype und gibt statt seines Namens einen Javascript-Code-Schnipsel in das entsprechende Feld ein, wird der Code ohne Rückfrage abgefragt.
Die im Code enthaltenen Kommandos werden vom iOS-App ohne weitere Überprüfung ausgeführt.
Sieht ein Skype-Nutzer die manipulierte Nachricht an, kann jeder JavaScript-Code in der Chat-Ansicht der App ausgeführt werden.
Es kann soweit kommen, dass sich das iPhone weitere Steuerbefehle von einem Server lädt und daraufhin das gesamte Adressbuch zurückschickt.
Wann wird die Sicherheitslücke von Skype behoben?
Der Sicherheitsforscher hat den VoIP-Dienst Skype bereits Ende August auf die Lücke hingewiesen.
Der VoIP-Anbieter hat zugesagt, an einer schnellen Lösung zu arbeiten. Anfang September sollte bereits ein neues Update die Lücke beheben.
Aufgrund der Verzögerung veröffentlichten die Entwickler eine Stellungnahe.
Darin wurde bekannt gegeben, dass die Sicherheitslücke in der nächsten App-Version behoben wird und bis dahin empfohlen wird, vorsichtig mit Freundesanfragen von Fremden umzugehen und auch ansonsten einen vernünftigen Umgang mit der Internetsicherheit zu pflegen.
