A Check Point Research, a área de Threat Intelligence da Check Point Software, encontrou uma vulnerabilidade que afeta o SQLite, o sistema de gestão de bases de dados mais utilizado a nível global. Através desta vulnerabilidade um cibercriminoso pode controlar um iPhone, sendo que os contactos do dispositivo estão guardados neste tipo de bases de dados.
“Apesar da longa crença que os iPhone são os dispositivos mais seguros, estas vulnerabilidades demonstram que também podem ser hackeados. É importante que o utilizador tenha em contra a segurança dos computadores e telemóveis, sendo que um utilizador poderia controlar e roubar toda a informação lá guardada,” explica Eusebio Nieva, director técnico da Check Point para Espanha e Portugal.
O SQlite é um sistema de gestão de bases de dados que está disponivel para todos os sistemas operativos tanto para computadores como para telemóveis. Por exemplo, Windows 10, MacOS, iOS, Chrome, Safari, Firefox e Android são utilizadores comuns do SQLite. Ao ser um dos softwares mais utilizados do mundo, muitos programas já o incluem para diferentes funções. Além deste caso dos iPhone, os Mac também guardam alguma password com este sistema. Com estas vulnerabilidades, seria possível controlar qualquer sistema que consulte uma base de dados controlada pelo SQLite.
Devida à popularidade do SQLite, existe um sem fim de possibilidades para a exploração destas vulnerabilidades. A Check Point realizou uma demonstração na Def Con 2019 para mostrar como é feito no iOS. Ao aproveitar destas vulnerabilidades é possível invadir o mecanismo de arranque seguro da Apple e obter autorizações de administrador no mais recente iPhone. A Check Point foi pioneira ao demonstrar uma vulnerabilidade do SQLite onde não é necessário um browser.
“Até agora, consultar um base de dados não era considerado perigoso, mas as nossas investigações demonstraram que é algo que pode acontecer. Tendo em conta a popularidade do SQLite, estas vulnerabilidades converteram-se numa grande oportunidade a explorar. Um erro grave no SQLite é uma falha grave em algumas das tecnologias mais utilizadas do mundo, como o iPhone, Dropbox, Adobe ou Skype”, reforça Nieva.
