更多

    SQLite 四年前漏洞未修正 專家指可藉 iPhone 通訊錄盜取資料

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Telegram 測試用 Siri 來讀寫訊息

    在 iOS 13 , Apple 加入了一個朗讀訊息和以語音轉文字來回覆訊息的功能,名為「用 Siri 讀出訊息」。除了 Apple 自家出品的程式之外, Apple 還開放了這個 API 給第三方開發人員去使用。最近 Telegram 就開始測試使用這個功能,來幫助用戶更方便地聽取訊息和口頭回應。

    雙重驗證跟機走! Google Authenticator 更新加入匯出紀錄功能

    隨著駭客技術愈來愈高,單一密碼已經不足以防護帳戶,所以不少網絡服務已經提供多步驟驗證功能,而《 Google Authenticator 》手機程式就是當中較常用的軟件式驗證器。不過一直以來,這驗證器沒有提供轉移紀錄到新手機的功能,令到用戶更換手機時非常麻煩。如今 Google 終於覺醒,在新版本中加入匯出紀錄功能,以後換機可以輕鬆一點。

    Apple 發表仲未完? AppleCare 內部筆記洩露日期?!

    今年下半年, Apple 已經先後舉行了三次網上發表會,分別公布 iPad Air 4 、 Apple Watch Series 6 、 iPhone 12 和 Apple Silicon Mac 等一系列新產品,不過市場一直流傳 Apple 還打算在 12 月舉行一次產品發表。剛剛就有傳媒取得一份 AppleCare 的內部筆記,指出 Apple 可能會在美國時間下星期二( 12 月 8 日)有新產品推出。

    國際駭客大會 Def Con 上周末舉行,一如往常爆出不少鮮為人知的保安漏洞,而今次的主角就是 SQLite 。網絡保安公司 Check Point 的研究在大會上透過其中一款使用 SQLite 的軟件—— iPhone 的通訊錄程式來執行惡意程式碼,證實一些一直未有解決的 SQLite 問題其實一直威脅用戶。

    SQLite 是世界上最普遍的關聯式資料庫引擎之一,由於它的程式庫細小而且可以整合到程式裡,很適合在手機之類的小裝置上使用,所以幾乎可以在所有作業系統找到, Windows 10 、 macOS 、 iOS 、 Android 以至 Chrome 、 Safari 、 Firefox 都會用它來儲存資料。例如 iPhone 的通訊錄就是用 SQLite 資料庫的。

    Check Point 研究人員以 iPhone 通訊錄示範「受信任」程式一樣可以觸動 SQLite 漏洞。
    Check Point 研究人員以 iPhone 通訊錄示範「受信任」程式一樣可以觸動 SQLite 漏洞。

    本來普遍認為這個存在於 SQLite 已有 4 年的漏洞,需要在 iPhone 上運行不明來歷的程式才能利用得到,除非是用戶 Jailbreak 了手機,否則以 iOS 這種封閉系統,基本上是不會有不明來歷程式的;而且基於 iOS 的 Secure Boot ,所有執行檔都必需要簽章。不過很不巧, SQLite 資料庫就是沒有簽章的。

    Check Point 在一部已解鎖的 iPhone ,透過換掉通信錄的一些元件,成功觸動這個漏洞,而作為示範,研究人員只是「仁慈地」令程式掛掉,不過他們指透過這個漏洞,是有可能取得用戶的資料和密碼的。

    Check Point 已經將今次研究連同攻擊方法告知了 Apple ,期望 Apple 稍後會推出更新修正漏洞吧。

    您會感興趣的內容

    相關文章