Découverte par Phil Purviance, chercheur en sécurité au laboratoire AppSec Consulting, la faille permet d'injecter un code malveillant en exploitant la fenêtre de conversation sur l'iPhone ou l'iPod Touch. Il est ainsi expliqué que pour retourner la conversation avec l'un de ses contacts, Skype utilise un simple document HTML. Cependant la société n'aurait pas correctement encodé le nom et le prénom des utilisateurs. Il serait alors possible de remplacer ces derniers par un code Javascript.
M. Purviance ajoute que Skype n'a pas correctement défini l'URI du navigateur basé sur WebKit et intégré à l'application Skype. En effet, ce dernier pointerait simplement vers le chemin « file:// » et, en quelque sorte, inviterait donc le hacker à accéder au système de fichiers et à naviguer simplement les données stockées sur le téléphone. S'il est vrai que chaque application est sécurisée par un système de bac à sable (sandboxing), les applications ont cependant accès au carnet d'adresses.
Une vidéo de démonstration est disponible sur cette page.
