iOSの連絡先アプリを介して悪意のあるコードの実行が可能〜セキュリティ研究者が実演

 
米ラスベガスで開催中のセキュリティ会議「DEFCON 2019」で、一般的なデータベースを利用して悪意のあるコードを実行する実験が行われましたが、その際にiOSの連絡先アプリが使用されたことがわかりました。

ユーザーデータやパスワードの抜き取りも可能

セキュリティ企業Check Pointの研究者たちは、関係データベース管理システム「SQLite」を使って、悪意のあるコードの実行を試みました。SQLiteを使ったデータベースの例として、iOSの連絡先アプリが使用され、アプリのクラッシュが実演されました。
 
今回の実演に使われたコードを応用すれば、ユーザーデータやパスワードなどを抜き取ることも可能とされています。

バグは4年前に発見

このSQLiteのバグはすでに4年前に発見されていますが、いまだ修正には至っていないようです。不明なアプリがデータベースにアクセスした場合にのみバグが発生すると考えられており、iOSのような閉鎖されたシステムにはそもそも不明なアプリが存在しないたからです。

 
しかしながら、Check Pointの研究者たちは、信頼されたアプリからもバグを発動させることに成功しているため、今後何らかの対策が講じられる必要がありそうです。
 
 
Source:AppleInsider, Forbes
(lexi)