Apple đã có một vài ngày qua khủng khiếp. Tại hội nghị Black Hat gần đây, các nhà nghiên cứu bảo mật đã quản lý để hack Applehệ thống Face ID của và sau này, người ta phát hiện ra rằng Apple đã kích hoạt một phần mềm bí mật bên trong những chiếc iPhone mới nhất của mình để gửi cho người dùng một cảnh báo và tắt các tính năng nếu pin của họ chưa được thay thế tại cơ quan chính thức Apple Cửa hàng. Bây giờ, AppleMột tuần cực kỳ xui xẻo tiếp tục xảy ra khi một lỗ hổng bảo mật nghiêm trọng đã được phát hiện mà mọi người dùng iPhone và iPad đều cần biết.
Theo một báo cáo của Apple Insider, một công ty bảo mật có tên là Check Point đã tiết lộ rằng họ đã tìm ra cách để hack từng thiết bị iOS chạy iOS 8 Tất cả các cách cho đến iOS 13. Bản hack này bao gồm tối đa tám năm thiết bị iOS, bắt đầu từ iPhone 4S 2011 và Apple Giám đốc điều hành Tim Cook tuyên bố rằng có 1.4 tỷ người dùng iPhone và iPad trên toàn thế giới. Điều này có nghĩa là hầu hết mọi người dùng iOS trên toàn cầu đều gặp rủi ro.
Check Point nói rằng ứng dụng Danh bạ iOS có thể bị khai thác bằng cách sử dụng cơ sở dữ liệu SQLite cơ bản mà bất kỳ tìm kiếm Danh bạ nào cũng có thể lừa iPhone hoặc iPad chạy mã độc hại có khả năng đánh cắp dữ liệu và mật khẩu của người dùng.
Check Point tuyên bố, “SQLite là công cụ cơ sở dữ liệu phổ biến rộng rãi nhất trên thế giới. Nó có sẵn trong mọi hệ điều hành, máy tính để bàn và điện thoại di động. Windows 10, macOS, iOS, Chrome, Safari, Firefox và Android là những người dùng SQLite phổ biến. “
Tuy nhiên, tiết lộ đáng ngạc nhiên là tại sao lỗ hổng ứng dụng Danh bạ lại tồn tại ngay từ đầu? Nếu Điểm kiểm tra là đúng, thì điều này lợi dụng một lỗi đã biết Apple đã thất bại trong bốn năm.
Nhà nghiên cứu Check Point viết, “Chờ đã, cái gì? Tại sao một lỗi bốn năm tuổi chưa từng được sửa? “Tính năng này chỉ từng được coi là dễ bị tấn công trong bối cảnh một chương trình cho phép SQL tùy ý từ một nguồn không đáng tin cậy và do đó nó đã được giảm thiểu tương ứng. Tuy nhiên, việc sử dụng SQLite rất linh hoạt mà chúng tôi thực sự vẫn có thể kích hoạt nó trong nhiều trường hợp. “
Nói cách khác, Apple luộm thuộm và Apple Insider giải thích, “Lỗi được coi là không quan trọng vì người ta tin rằng nó chỉ có thể được kích hoạt bởi một ứng dụng không xác định truy cập vào cơ sở dữ liệu và trong một hệ thống đóng như iOS, không có ứng dụng nào không xác định. Tuy nhiên, các nhà nghiên cứu của Check Point sau đó đã cố gắng tạo ra một ứng dụng đáng tin cậy [the ubiquitous Contacts app] gửi mã để kích hoạt lỗi này và khai thác nó. “
Đây dường như là một sự lười biếng giám sát có thể gây ra một số hậu quả nghiêm trọng. Tuy nhiên, tin tặc cần một thiết bị iOS đã mở khóa để khai thác nhưng điều này có thể thay đổi. Một báo cáo phấn khởi của Forbes cho biết: “Cuối cùng, chỉ trong tháng trước, sáu lỗ hổng đã được tìm thấy trong iMessage cho phép tin tặc đọc các tệp của bạn từ mọi nơi và một trong số chúng vẫn chưa được vá cho đến ngày nay. “
. .
…
