iPhone/iPod Touch用の Skype 3.0.1以前にはチャットメッセージのウインドウにクロスサイトスクリプティング(XSS)の脆弱性があると、AppSec Consultingのセキュリティ研究者Phil Purviance氏が公開しています。 ユーザーの”名前”欄に悪意のあるJavaScriptを仕込むことで、チャットメッセージを表示する箇所で攻撃することが可能なようです。攻撃の際のURI schemeに”file://” を使うことで、攻撃者はユーザーのファイルシステムにアクセスして、アドレス帳の情報を盗むことができるとのこと。 XSS in Skype for iOS « Superevr デモの動画もあります。Skypeのプロフィールを使ったXSSはたびたび起こっていますね。 ひとまずは、リストに載っていない人からのチャットメッセージは受け付けないようにしたいですね