Aïe. Phil Purviance a découvert dimanche dernier une faille XSS dans le logiciel de VoIP Skype sur les plateformes iOS. L’exploit consiste à utiliser cette faille XSS pour faire le plein. Un hackeur peut donc utiliser des commandes JavaScript lorsqu’il discute avec la victime en question. Celle-ci, non au courant, se voit ainsi dérober quelques informations dont le carnet d’adresse recensant tous ses contacts.


En fait, avec cette faille XSS, un hackeur peut avoir accès à tous les fichiers systèmes que l’application elle-même est autorisée à utiliser. « Ouf », Apple a un système d’application qui s’exécute en sandbox laissant peu d’informations récupérables par un pirate de l’informatique. Mais quelques données – dont justement le carnet d’adresses – ne sont pas exécutées de cette manière.

Pour nous montrer l’envers du décor, Purviance propose une vidéo montrant le processus.

Au final, un aspect est rassurant. Skype est au courant de cette faille et travaille avec acharnement pour la corriger. Ils espèrent d’ailleurs rendre une mise à jour corrective aussi vite que possible.

Source | TechCrunch