您的iPhone联系人列表可能是易受攻击的目标
Check Point的研究人员通过展示如何在Apple智能手机上使用它来展示常见数据库软件中的缺陷
支持iPhone联系人列表的数据库技术中的漏洞可能允许网络入侵者获得对电话的管理控制权。
数百万消费者的主要安全威胁可能潜伏在他们的口袋和整个家庭中。
Check Point软件技术有限公司的研究人员CHKP,-1.45%发现了世界上部署最多的软件之一的缺陷,该软件在Apple Inc.AAPL上的联系人名单中占据了一席之地,-0.25%的iPhone在几乎所有流行的计算平台中都很重要。
SQLite数据库引擎用于操作系统,台式机和手机 - 包括iOS和MacOS,Alphabet Inc.的GOOGL,-1.21%GOOG,-1.12%Chrome浏览器和Android操作系统,微软公司的MSFT,-1.39%Windows 10,以及Safari和Firefox Web浏览器。SQLite也用于Dropbox Inc.DBX的产品,-2.62%,Adobe Inc.ADBE,-2.10%等。
据Check Point预计将于周六在拉斯维加斯举行的DEF CON安全会议上发布报告称,这使得该数据库成为可以利用SQLite代码并获得iPhone管理控制权的潜在黑客的丰富目标。
Check Point的研究团队通过自己的数字查询劫持和编程技术证明,可以“可靠地”利用SQLite引擎中的内存损坏问题。作为一个概念证明,研究人员表示,他们能够偷偷摸摸地获得更多的iOS权限。
“如果成功,入侵者拥有你的iPhone”及其中的信息,Check Point的安全研究团队负责人Omri Herscovici撰写了这份长达82页的报告,他在电话简报中告诉MarketWatch。
作为星期六演示的一部分,Check Point计划演示入侵者如何绕过Apple的可信安全启动机制并获得iPhone的管理权限。iPhone上的联系人存储在SQLite数据库中,以及Mac上的一些保存密码。
Check Point表示,该公司已于3月份通知苹果公司并且公司在5月份发布了补丁。Apple没有回复寻求评论的电子邮件。Check Point表示它也向微软通报了SQLite漏洞。微软没有评论。
Check Point披露的SQLite漏洞是DEF CON多年传统的一部分,黑客每年召集会议,分享最新的趋势和安全秘密。