Das Sicherheitsunternehmen Check Point hat eine Schwachstelle im branchenüblichen SQLite-Datenbankformat nachgewiesen, die ausgenutzt werden kann. Auf der Konferenz Def Con 2019 führte das Unternehmen die Methode vor, wobei als Beispiel die iOS Kontakte-App von Apple manipuliert wurde. Eine Suche in der Kontakte-App kann unter diesen Umständen ausreichen, um das Gerät dazu zu bringen, bösartigen Code auszuführen.
"SQLite ist die am weitesten verbreitete Datenbank-Engine der Welt", so das Unternehmen in einer Erklärung. "Es ist in jedem Betriebssystem, Desktop und Handy verfügbar. Windows 10, MacOS, iOS, Chrome, Safari, Firefox und Android sind beliebte Benutzer von SQLite. Kurz gesagt, wir können die Kontrolle über jeden gewinnen, der unsere SQLite-gesteuerte Datenbank abfragt."
Dokumentiert in einem 4000 Wörter umfassenden Bericht,
der "Appleinsider" vorliegt, beinhaltet der Hack des Unternehmens den Austausch eines Teils der Contacts App von Apple und basiert unter anderem auch auf einem bereits seit vier Jahren bekannten Fehler, der aber immer noch nicht behoben wurde.
"Warum wurde ein vierjähriger Fehler nie behoben?", schreiben die Forscher von Check Point in ihrem Bericht. "Dieses Feature wurde immer nur im Zusammenhang mit einem Programm, das beliebiges SQL aus einer nicht vertrauenswürdigen Quelle erlaubt, als anfällig angesehen, und die Behebung des Bugs wurde daher entsprechend vor sich hingeschoben. Die Nutzung von SQLite ist jedoch so vielseitig, dass wir den Bug in vielen Szenarien tatsächlich noch auslösen können."
