iOS版Skype漏洞将导致用户手机通讯录泄露

北京时间9月20日晚间消息，有报道称，iOS版Skype的一个漏洞将导致用户的手机通讯录泄露。Skype表示，已知道并正在修复这一漏洞。

如果用户使用3.0.1或更老版本的iOS版Skype，那么将会受这一跨站脚本漏洞的影响。通过该漏洞，当用户查看聊天信息时，攻击者将可以执行恶意的JavaScript代码，从而导致包括手机通讯录在内的用户信息泄露。

Skype在一份公告中表示：“我们正努力在下一版应用中解决这一已被报告的问题，我们希望能立即推出下一版应用。与此同时，我们建议用户保持警惕，只接受来自熟人的好友请求，并采取一些常见的互联网安全措施。”

AppSec Consulting信息安全研究员菲尔·普韦恩斯(Phil Purviance)表示：“执行特定的JavaScript代码是一方面。我还发现，在内建的webkit浏览器中，Skype不恰当地定义了URI方案。原本的设置应为‘about:blank’或‘skype-randomtoken’，但实际上却成为‘file://’。这将使攻击者可以进入用户的文件系统，也可以获取应用本身可获取的文件。”

他指出：“iOS应用沙箱能部分地解决文件系统的问题，防止攻击者获取特定的敏感文件。然而，所有iOS应用都可以获取用户的通讯录，而Skype也不例外。”普韦恩斯在Twitter上表示，他在近1个月之前就向Skype报告了这一漏洞。