El investigador de la empresa de seguridad AppSec Consulting, Phil Purviance, ha descubierto un fallo de seguridad en Skype 3.0.1 para iOS y versiones anteriores. En el vídeo que encabeza esta noticia, realizado por el propio Phil Purviance, se explica el problema.
El agujero de seguridad posibilita al atacante ejecutar código JavaScript malicioso que se activa cuando la víctima ve un mensaje de chat, permitiendo el robo de información, incluida la libreta de direcciones del usuario.
Que Skype tenga fallos de seguridad no es nuevo, lo que sorprende del caso es que la vulnerabilidad fue notificada a Skype por el citado investigador hace casi un mes y sin embargo no se haya hecho público por parte de Skype.
Existe una vulnerabilidad de Cross-Site Scripting en la ventana “Chat Message” de Skype 3.0.1 y versiones anteriores para iPhone e iPod Touch.
El acceso a los archivos del sistema está mitigado parcialmente por el “sandbox” implementado por Apple, evitando que un atacante pueda acceder a ciertos archivos confidenciales. Sin embargo, todas las aplicaciones de iOS tienen acceso a la libreta de direcciones del usuario y Skype no es una excepción.
Desde Skype aseguran estar trabajando en una solución que esperan lanzar de forma inminente, recomendando mientras precaución a los usuarios, y sugieren que sólo acepten solicitudes de amistad de gente conocida. Este consejo está muy bien, pero hubiera sido conveniente advertir a los usuarios desde el principio y no esperar a que se enteren por la prensa.
Vía | Superevr blog, Techcrunch
Vídeo | Youtube
En Genbeta | Agujero de seguridad en Skype 5.0 para Mac
Comentarios
Tu muy mal Skype
Menos mal que están estas personas que se dan cuenta de fallos de seguridad como estos, graves, y que siempre ayudan a mejorar la aplicación en cuanto a seguridad. Cosa de la que empresas como Skype (y otras) no parecen preocuparse e incluso lo ocultan.
En eso tiene ventaja el software libre.
¿Para iOS 3.0.1?, ¿alguien sigue usando algo tan obsoleto?
Gracias por el aviso, Rodolfo, estaba mal redactado y ya está corregido, es "Skype 3.0.1 para iOS". Disculpad el lapsus. Saludos.
"fallo de seguridad en Skype 3.0.1 para iOS"
Se refiere a la versión de Skype (la última versión disponible en la AppStore), no de iOS (que en ese tiempo se llamaba iPhone OS)
¿Seguro que es algo tan obsoleto?
Saludos.
Te has cruzado con F.Manuel, lo has leido cuando ya lo había corregido ;)
Yo no lo veo tan obsoleto. De hecho sigue funcionando igual de bien que el primer día.
La mejor forma de no infectarse como siempre es la prevención, aunque muchos/as que aún siguen abriendo correos sin saber quien remite, aceptar solicitudes de amigos que no conocen y pulsando en links (enlaces) que desconocen a donde les van a llevar, e incluso facilitando información personal cuando webs malintencionadas te requieren para validar una cuenta bancaria, etc etc. Hasta que muchas personas dejen de hacer de esta práctica una cosa cotidiana los virus, troyanos, etc... camparán a sus anchas por la red. El mejor antivirus, antimalware, ... es uno mismo. :D
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect