Berriz ere ez Apple, Kontaktuen aplikazioarekin identifikatutako zaurgarritasuna.

Apple urteak daramatza kontsumo merkatuaren segurtasun kezkekin elkartzen. Hala ere, segurtasun-ehuna ez da egon pitzadurarik eta zulorik gabe.

Segurtasun mehatxuetako bat kontaktu aplikazioan dago, hacker batek epe luzera arazo askoz handiagoak ekar ditzakeen edozein kode arbitrario bilatu eta exekutatzeko.

Ikertzaileek mehatxu hau konpainiaren gehien ahaztutako ataletako bat dela azpimarratu dute, urteetan konpondu ez diren akats gaiak ahaztu dituena.

Akatsa ez dago Apple kodea, baina presente dago SQLite-n. Android, iOS eta mugikor plataformetan eta industria industrietan erabiltzen diren datu base estandarretako bat da.

Akatsa 2015ean identifikatu zen, bai MacOS X bai iOS-en aurka. Hala ere, ordura arte ez zen iOS konpondu Apple ez da nahikoa bideragarria iruditu iOS SQLite datu-basera sartzeko baimenik gabeko beste aplikazio bat, iOS-ek ez baitu fidagarritasunik ez duen aplikaziorik edo kontrolik gabeko politika.

Konfiantzazko aplikazioa modu okerrean egin duten beste ahultasun eta haka batzuen presentzia egia da eta Checkpoint-ek AppleInsider-en egindako ikerketa-lanetan, kasua Apple harremanetarako aplikazioa ez da mirari bat.

Hackerrek aplikazioa aldatu dute kode eta komandoak exekutatzen sentikorragoa izan dadin, kontaktuen bilaketa sinplea aplikazioa huts egin eta pasahitzak lapurtu edo ekintza negatiboak esaterako.

“Itxaron, zer? Nola iritsi da lau urteko zomorro bat ez dela inoiz konpondu? ” idatzi ikertzaileek beren dokumentuan. “Funtzio hau inoiz ez da ahulezitzat jotzen konfiantzarik gabeko iturri batetik SQL arbitrarioa ahalbidetzen duen programaren arabera, eta horren arabera arindu zen. Hala ere, SQLite erabilera oso polifazetikoa da, non oraindik ere eszenatoki askotan aktibatzeko gai garen. “

“Bestela esanda, akatsa garrantzirik gabekoa dela uste da, datu basean sartzen den aplikazio ezezagun batek soilik eragin dezakeelako, eta iOS bezalako sistema itxi batean ez dago aplikaziorik ezezagunik. Hala ere, Check Point-eko ikertzaileek konfiantzazko aplikazio bat egitea lortu zuten kodea bidaltzen dute akats hau pizteko eta ustiatzeko.