北京时间9月20日晚间消息,有报道称,iOS版Skype的一个漏洞将导致用户的手机通讯录泄露。Skype表示,已知道并正在修复这一漏洞。
如果用户使用3.0.1或更老版本的iOS版Skype,那么将会受这一跨站脚本漏洞的影响。通过该漏洞,当用户查看聊天信息时,攻击者将可以执行恶意的JavaScript代码,从而导致包括手机通讯录在内的用户信息泄露。
Skype在一份公告中表示:“我们正努力在下一版应用中解决这一已被报告的问题,我们希望能立即推出下一版应用。与此同时,我们建议用户保持警惕,只接受来自熟人的好友请求,并采取一些常见的互联网安全措施。”
AppSec Consulting信息安全研究员菲尔·普韦恩斯(Phil Purviance)表示:“执行特定的JavaScript代码是一方面。我还发现,在内建的webkit浏览器中,Skype不恰当地定义了URI方案。原本的设置应为‘about:blank’或‘skype-randomtoken’,但实际上却成为‘file://’。这将使攻击者可以进入用户的文件系统,也可以获取应用本身可获取的文件。”
他指出:“iOS应用沙箱能部分地解决文件系统的问题,防止攻击者获取特定的敏感文件。然而,所有iOS应用都可以获取用户的通讯录,而Skype也不例外。”普韦恩斯在Twitter上表示,他在近1个月之前就向Skype报告了这一漏洞。 
