Une faille XSS dans la version iOS de Skype permet à un attaquant de récupérer le carnet d’adresse d’une personne, simplement en lui envoyant un message. Enfin, c’est un peu plus compliqué que ça car il faut une appli côté serveur, mais juste en mettant un peu de javascript dans le champs pseudo et en envoyant un message à la victime, le Skype de cette dernière initie une connexion sans même le savoir entre son téléphone et le serveur de l’attaquant.

Résultat, l’intégralité des contacts du téléphone en base64 se retrouvent sur le serveur du méchant.

La faute de Skype ? En fait, c’est la faute de Skype et d’Apple. Le logiciel Skype ne vérifie pas si le texte saisi dans ce fameux champs pseudo est dangereux mais Apple n’est pas en reste car iOS autorise tout simplement n’importe quelle application installée (comme Skype) à accéder au carnet d’adresse. Oui, ça m’étonne mais c’est ce qu’explique le découvreur de cette faille sur son site.

Il suffit tout simplement de trouver une faille exploitable à distance dans un soft (peu importe) et ça vous donne accès au carnet d’adresse.

Freaky !

Pour le moment, cette faille n’a pas encore été patchée ni d’un côté, ni de l’autre… [Source]