Приложение «Контакты» в iOS уязвимо ко взлому через SQLite
Подвержены атаке почти все устройства на базе операционной системы Apple, коих насчитывается около 1,4 млрд единиц.
Компания по IT-безопасности Check Point выступила на Def Con 2019 с докладом об уязвимости приложения «Контакты» в iOS. Злоумышленники могут запустить вредоносный код через поисковой движок программы.
Исследователи обнаружили, что приложение «Контакты» можно взломать через SQLite — одну из самых распространённых в мире систем управления баз данных, которая доступна на множестве платформ.
Любой поисковой запрос — это обращение к базе данных. Используя известную ошибку, которую Apple не исправляла в течение четырёх лет, хакеры могут передать любой вредоносный код. Для демонстрации представители Check Point вызвали сбой приложения.
Apple считала баг, который позволяет передавать произвольный SQL-запрос из ненадёжного источника, несущественным, т.к. в iOS не допускаются ненадёжные источники. Поэтому компания лишь снизила возможное влияние ошибки, но не избавилась от неё полностью. Но исследователям удалось использовать доверенное приложение «Контакты» для передачи кода.
Уязвимы все iPhone и iPad под управлением iOS начиная с версии 8.0 и заканчивая бета-сборками iOS 13.0. В начале года Тим Кук заявил, что в мире насчитывается 1,4 млрд активных устройств на этой операционной системе.
Check Point рассказали, что передали результаты своего исследования разработчикам Apple. Компания пока не комментировала проблему.