Door het sturen van één enkel chatbericht via Skype zijn alle contacten uit het adresboek van iOS-apparaten te downloaden. Dit is mogelijk door een Javascript-commando te verwerken in de gebruikersnaam van een Skype-gebruiker.

Compleet met auto-upload

Het zo aangemaakte malafide chatbericht wordt naar het slachtoffer gestuurd. Vervolgen wordt diens adresboek geüpload naar een webserver, die de aanvaller heeft klaargezet om de gestolen contactgegevens te ontvangen. Dit werkt ook in de meest recente versie van de Skype-app.

De ontdekker van dit lek zegt dat Skype het nalaat om potentieel gevaarlijke Javascript-commando's uit teksten te halen die worden verstuurd in chatberichten. Daarnaast verwijt hij Apple dat het adresboek van iOS zo kwetsbaar is.

Het stelen van het iOS-adresboek via Skype gedemonstreerd: