Výzkumníci, kteří se objevili na bezpečnostní konferenci Def Con 2019, světu ukázali, jakým způsobem je aplikace Kontakty v iOS zranitelná vůči hacknutí. Konkrétně se o doložení tohoto problému zasloužili pracovníci firmy Check Point. Ti v rámci konference ukázali, jak pomocí jednoduchých dotazů v databázovém systému SQLite dokáží „zmást“ Kontakty takovým způsobem, že poté skrze ně dokáží do iPhonu či iPadu nahrát škodlivý kód. Vzhledem k tomu, že je SQLite jeden z nejrozšířenějších databázových enginů na světě, tak se nachází prakticky ve všech zařízeních – ať už to je mobilní zařízení běžící na iOS a Androidu, či počítač běžící na Windowsu či macOS.
Databázový engine SQLite využívají i Kontakty v iOS. Pokaždé, když někoho hledáte v seznamu kontaktů, tak tak činíte především díky SQLite. Celá bezpečnostní chyba byla pospána v dokumentu o čtyřech tisících slovech prostřednictvím magazínu AppleInsider. Jednoduše řečeno, pomocí chyby se nahradí určitá část aplikace Kontakty v iOS. Po nahrazení už jsou potencionální hackeři schopni do aplikace nahrát škodlivý kód, který může sloužit k čemukoliv. Tato chyba se navíc opírá o další chybu, která je již po dobu čtyř let stále neopravená. Pokud se ptáte, z jakého důvodu je tato chyba stále neopravená, tak je odpověď následující: obyčejný uživatel se k ní dostane jen velice těžko, a tak je její zneužití spíše nereálné. Apple tak chybu označil za nedůležitou a dále ji nijak neřešil. Bezpečnostní výzkumníci, kteří se však hledáním chyb víceméně živí, už takový problém ve zneužití nemají.
Mohlo by vás zajímat
O to více alarmující je fakt, že se tento škodlivý kód v zařízení uchová i po restartování zařízení. Vzhledem k tomu, že všechny systémové soubory musí před spuštěním iOS projít procedurou „Apple Secure Boot“, která se stará o bezpečnost, tak je velice těžké nějakým způsobem tuto ochranu prolomit. Databázové soubory SQLite jsou však z kontroly Secure Boot vyloučeny, a proto v nich škodlivý kód zůstává i po restartu. Po vysvětlení celé teorie přišla na řadu praxe. V tomto případě výzkumníci na konferenci ukázali, že jsou schopni zapříčinit pád aplikace. Zároveň však řekli, že je tato chyba jako stvořená například pro kradení hesel a ostatních osobních informací. Celou tuto chybu samozřejmě výzkumníci předali Applu. Uvidíme, zdali se tak kalifornský gigant poučí a chybu opraví.
Je úplně úžasné, když je, např. jak je v tomto článku psáno, aplikace kontakty zranitelná vůči hacknutí, na to upozorňovat aby ji někdo napadl, když si to přečte… 😂
Opravte si titulek: „hackutí“ -> „hackNutní“
Powdy: klid pokud uz o tom pisou i tady tak uz tydny Apple dela na zaplate 👍
Ne, Apple nedělá na tom týdny, ale už čtyři roky a pořád není schopnej to opravit, LOL.
Nějak ten „bezpečný Apple“ má čím dál více bezpečnostních průserů.
To je sice možná pravda, že dělá na záplatě…. ale iOS 12 už nejspíš žádný update mít nebude a oprava bude už ve 13 (jestli tedy vůbec ta oprava bude), každopádně ta chyba tam je a když takhle na veřejném webu přímo určeném těmto technologiím, této společnosti a této komunitě budou psát o nějaké chybě tak ti hackeři si jen mnou ruce… a určitě to není případ jen u nás v česku na českém webu… . Když tam je chyba, proč o ni nenapsat článek a neupozornit na ni, že? 🤦♂️🤣
A pak někdo jako @KokooDak napíše komentář typu LOL a vysmívá se bezpečnosti těchto produktů…, (která je i tak 1000% lepší než bezpečnost konkurence) a plete si množství bezpečnostních průserů Applu s třeba Facebookem 🤔