Desde el jueves pasado circulaban algunas noticias sobre el descubrimiento de una Cross-site Scripting (XSS) en Skype pero, tras la confirmación oficial de la compañía y la alerta enviada por el INTECO-CERT se confirma la noticia. Levent Kayan, un consultor de seguridad de Berlín, publicó hace unos días su descubrimiento; una vulnerabilidad que permitiría (a un atacante remoto) acceder a la cuenta de un usuario (y tomar el control de la misma al cambiarle la contraseña, por ejemplo, y acceder a todos los datos de sus contactos).
El problema se encuentra en el formulario de usuario (video), el cual contiene un campo para consignar el número de teléfono móvil y en el que se puede inyectar código en JavaScript que, posteriormente, puede ser ejecutado cuando un contacto accede a la ficha “maliciosa” del usuario, momento en el que se podría tomar el control total de la cuenta y acceder a todos los datos del usuario. Visto así, está claro que tanto víctima como atacante tienen que conocerse y, por tanto, el riesgo baja un poco, pero no deja de ser una brecha importante.
Skype está trabajando en una actualización de sus clientes para solventar el problema, mientras tanto, los usuarios de Skype 5.3.0.120 y versiones anteriores para plataformas Windows y Mac OS X, deberán extremar las precauciones con la gente a la que agregan y los perfiles que visitan. Pensándolo un poco, creo que el fallo es muy grave, permitir en un campo que es numérico,la introducción de un código en JavaScript está más allá del mero despiste; algo que Skype no ha considerado así y no lo ha catalogado como incidencia crítica.
Según la respuesta oficial de Skype, encarnada en Adrian Asher, jefe de seguridad de la información de Skype:
En esencia, permite que uno de sus principales contactos en Windows le muestre mensajes o lo rediriga a páginas web dentro de la página de Skype. Con el fin de aprovecharla, esta persona tendría que ser un contacto validado suyo y uno de los más frecuentes, y por lo tanto muy poco probable que cause problemas en el mundo real, sin embargo, no debería ser así y se arreglará.