Skype for iOSにXSS脆弱性、アドレス帳を盗むことも可能

iPhone/iPod Touch用の Skype 3.0.1以前にはチャットメッセージのウインドウにクロスサイトスクリプティングXSS)の脆弱性があると、AppSec Consultingのセキュリティ研究者Phil Purviance氏が公開しています。
ユーザーの”名前”欄に悪意のあるJavaScriptを仕込むことで、チャットメッセージを表示する箇所で攻撃することが可能なようです。攻撃の際のURI schemeに”file://” を使うことで、攻撃者はユーザーのファイルシステムにアクセスして、アドレス帳の情報を盗むことができるとのこと。

デモの動画もあります。Skypeのプロフィールを使ったXSSはたびたび起こっていますね。
ひとまずは、リストに載っていない人からのチャットメッセージは受け付けないようにしたいですね。といっても、私のリストにはプロフィールにJavaScriptが入ってる人が何人かいますけど…。w