En alvorlig sikkerhedsbrist i database-værktøjet SQLite gør det muligt at hacke alle iPhones og iPads, der kører med iOS-styresystemet fra version 8 og frem - det vil sige alle enheder, som har mindre end otte år på bagen.
Sådan lyder det fra det amerikanske it-sikkerhedsfirma Check Point, skriver Apple Insider.
SQLite er en af de helt store database-formater i verden og findes i versioner til samtlige styresystemer til både pc og mobiltelefoner- herunder Windows 10, macOS, iOS, Chrome, Safari, Firefox og Android.
SQLite anvendes blandt andet til søgninger blandt kontakterne i ikke mindst iPhone og iPad.
Check Point demonstrerede fornylig på den store sikkerhedskonference Def Con, hvor nemt det er at hacke Apples iOS Contact-app via sårbarheden.
Ifølge Apple Insider har Check Point udarbejdet en stor rapport, der demonstrerer, hvordan det er muligt via sårbarheden eksempelvis at ændre en del af Apples Contacts-app og via denne vej få adgang til telefonerne.
“Kort og godt kan vi overtage kontrollen over alle, der søger via en SQLite-kontrolleret database,” lyder det fra Check Point.
Sårbarheden er fire år gammel, men er aldrig blevet lukket.
“Sårbarheden er blevet vurderet som ligegyldigt, fordi man har ment, at den alene kan blive aktiveret via en ukendt applikations adgang til databasen, og i et lukket system som iOS er der ingen ukendt applikationer,” skriver Apple Insider.
“Men Check Points udviklere har altså været i stand til at skabe en godkendt app, sende koden og aktivere buggen,” hedder det.
