Zavřít reklamu

Výzkumníci, kteří se objevili na bezpečnostní konferenci Def Con 2019, světu ukázali, jakým způsobem je aplikace Kontakty v iOS zranitelná vůči hacknutí. Konkrétně se o doložení tohoto problému zasloužili pracovníci firmy Check Point. Ti v rámci konference ukázali, jak pomocí jednoduchých dotazů v databázovém systému SQLite dokáží „zmást“ Kontakty takovým způsobem, že poté skrze ně dokáží do iPhonu či iPadu nahrát škodlivý kód. Vzhledem k tomu, že je SQLite jeden z nejrozšířenějších databázových enginů na světě, tak se nachází prakticky ve všech zařízeních – ať už to je mobilní zařízení běžící na iOS a Androidu, či počítač běžící na Windowsu či macOS.

Databázový engine SQLite využívají i Kontakty v iOS. Pokaždé, když někoho hledáte v seznamu kontaktů, tak tak činíte především díky SQLite. Celá bezpečnostní chyba byla pospána v dokumentu o čtyřech tisících slovech prostřednictvím magazínu AppleInsider. Jednoduše řečeno, pomocí chyby se nahradí určitá část aplikace Kontakty v iOS. Po nahrazení už jsou potencionální hackeři schopni do aplikace nahrát škodlivý kód, který může sloužit k čemukoliv. Tato chyba se navíc opírá o další chybu, která je již po dobu čtyř let stále neopravená. Pokud se ptáte, z jakého důvodu je tato chyba stále neopravená, tak je odpověď následující: obyčejný uživatel se k ní dostane jen velice těžko, a tak je její zneužití spíše nereálné. Apple tak chybu označil za nedůležitou a dále ji nijak neřešil. Bezpečnostní výzkumníci, kteří se však hledáním chyb víceméně živí, už takový problém ve zneužití nemají.

O to více alarmující je fakt, že se tento škodlivý kód v zařízení uchová i po restartování zařízení. Vzhledem k tomu, že všechny systémové soubory musí před spuštěním iOS projít procedurou „Apple Secure Boot“, která se stará o bezpečnost, tak je velice těžké nějakým způsobem tuto ochranu prolomit. Databázové soubory SQLite jsou však z kontroly Secure Boot vyloučeny, a proto v nich škodlivý kód zůstává i po restartu. Po vysvětlení celé teorie přišla na řadu praxe. V tomto případě výzkumníci na konferenci ukázali, že jsou schopni zapříčinit pád aplikace. Zároveň však řekli, že je tato chyba jako stvořená například pro kradení hesel a ostatních osobních informací. Celou tuto chybu samozřejmě výzkumníci předali Applu. Uvidíme, zdali se tak kalifornský gigant poučí a chybu opraví.

Dnes nejčtenější

Další články