iOS 12.3 a comblé 4 failles autour de SQLite

Si l’app Contacts d’iOS est là depuis le début, une faille la concernant vient d’être corrigée dans iOS 12.3. Il s’agit même de 4 vulnérabilités qui ont touché la partie SQLite depuis plusieurs années.
Ce composant logiciel s’occupe de la gestion des données de l’app Contacts mais aussi de la plupart des autres parties d’iOS et des apps. En effet, l’API Core Data d’Apple s’appuie dessus.
 

Attention à ces failles qui donnent accès à vos contacts

Utilisé sur plusieurs systèmes d’exploitation, dont iOS, SQLite a été pointé du doigt par la société de recherche en sécurité Check Point.

Accompagnée d’une longue explication, le démonstration débouche sur le siphonnage total des données de l’app Contacts. Pour cela, les hackers professionnels ont analysé la base de données en question, ont préparé des requêtes permettant de créer des « vues » de toutes les tables ainsi que deux supplémentaires pour créer un token et faire crasher la base. Une fois qu’elle a crashé, les spécialistes remplacent alors la base « AddressBook.sqlite » par la leur en récupérant les informations liées au crash. Ils redémarrent ensuite l’iPhone et obtiennent le contrôle total sur la base.

Comme ils l’expliquent, la démonstration n’est pas très compliquée et permet ensuite d’avoir accès à une partie logicielle utilisée par de nombreuses apps comme Contacts, Facetime, Springboard, WhatsApp, Telegram ou encore XPCProxy.

Une fois la démonstration finie, on comprend alors que les données de toute table SQLite dans iOS peut être compromise, car apparemment cette partie n’est pas signée par Apple et donc accessible en clair.

Heureusement, Check Point avait averti Apple des failles et s’est vu attribué 4 vulnérabilités :

• CVE-2019-8600
• CVE-2019-8598
• CVE-2019-8602
• CVE-2019-8577

Les quatre tickets ont été résolus par Apple avec iOS 12.3. Il suffit donc de se mettre à jour pour combler les failles.

Source