安基网 欢乐生肖 资讯 安全报 查看内容

研究人员公布利用数据库漏洞操纵iOS通讯录应用并执行恶意操作

2019-8-12 12:29| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在最近举办的安全会议上研究人员透露苹果iOS 系统附带的通讯录应用非常容易因数据库漏洞而遭到攻击等。出现问题的并不是苹果在开发过程中产生的问题,而是苹果使用的某个开源免费的数据库软件存在安全漏洞。这个开源免费的数据库软件就是SQLite,该软件曾在多年前被发现漏洞但是这个漏洞直到现在也没有 ...

在最近举办的安全会议上研究人员透露苹果iOS 系统附带的通讯录应用非常容易因数据库漏洞而遭到攻击等。

出现问题的并不是苹果在开发过程中产生的问题,而是苹果使用的某个开源免费的数据库软件存在安全漏洞。

这个开源免费的数据库软件就是SQLite,该软件曾在多年前被发现漏洞但是这个漏洞直到现在也没有被修复。

由SQLite引发的潜在攻击:

这款软件是全球分布最广使用率最高的数据引擎,不论是桌面平台还是移动平台也不论是什么软件都可使用。

例如Windows 10、谷歌浏览器、火狐浏览器、安卓系统等都使用该数据库,可见这款软件的使用范围之广。

四年前该数据库引擎被发现存在某个安全漏洞,不过当时的评估结果是该漏洞只是易攻击但是并非危急漏洞。

因此直到现在这枚安全漏洞还是没有被修复,这次iOS 系统附带的通讯录软件攻击过程也正是利用这个漏洞。

利用特定代码触发漏洞:

在安全公司测试过程中使用受信任的应用程序发送特定代码即可触发漏洞,然后直接替换系统附带的通讯录。

实际上苹果在iOS 系统开发过程中有严格的签名校验流程,启动过程中没有签名的组件是不能被自动执行的。

万万没想到SQLite数据库引擎并未进行校验, 于是只要触发漏洞并进行替换后可达到重启设备还有效的目的。

也就是说攻击成功后即便设备重启也能继续运行恶意组件,因此也可以持续性向用户发动攻击完成恶意目的。

好消息是必须先解锁:

这枚漏洞的危害是比较大不过好在设备必须先解锁才可以发动攻击,因此攻击者想要静默攻击的话有些困难。

当然即便如此还存在潜在安全风险的,因此安全公司CheckPoint已经将漏洞尽责向 SQLite 和苹果公司报告。

至于什么时候苹果会解决这个漏洞暂时还不清楚,不过这种容易解决的漏洞苹果应该很快就会发布安全更新。

关注蓝点网头条号不迷路,Windows 10、科技资讯、软件工具、技术教程,尽在蓝点网。蓝点网,给你感兴趣的内容!感谢打赏支持!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6723860850035130888/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
上海时时乐 内蒙古11选5 99棋牌 福建11选5开奖 幸运飞艇官网 飞速赛车平台 韩国1.5分彩 极速快乐8 快乐赛车 235棋牌