安全研究人員透露,可以修改SQLite資料庫,使其在依賴它們儲存資料的其他應用程式中執行惡意程式碼。
在近日拉斯維加斯DEF CON安全會議上釋出的演示中,Check Point安全研究員Omer Gull展示了一個受汙染的SQLite資料庫的演示,該資料庫劫持了惡意軟體操作的命令和控制伺服器,以及使用SQLite在iOS裝置上實現永續性的惡意軟體。
聰明的SQLITE攻擊讓黑客獲得IOS永續性
我們的想法是,第三方應用程式從SQLite資料庫讀取資料的漏洞,允許將惡意程式碼隱藏在SQLite資料庫的資料中。
當第三方應用程式(如iMessage)讀取受汙染的SQLite資料庫時,它也會無意中執行隱藏程式碼。
在他在DEF CON上展示的iMessage演示中,Gull展示了設法替換或編輯“AddressBook.sqlitedb”檔案的惡意軟體或如何在iPhone的地址簿中插入惡意程式碼。
當iMessage查詢此SQLite檔案(iMessage定期執行)時,惡意程式碼會執行,並允許惡意軟體在裝置上獲得啟動永續性。
雖然這種情況似乎難以置信,但這並不像看起來那麼難。Gull說Apple沒有簽署SQLite資料檔案,所以替換這個檔案是微不足道的。因此,威脅行為者有一種簡單的方法可以用來在iPhone和macOS裝置上獲得啟動永續性。
就其本身而言,Apple在5月份針對SQLite攻擊媒介釋出了修復程式(CVE-2019-8600,CVE-2019-8598,CVE-2019-8602,CVE-2019-8577),使用macOS Mojave 10.14.5,iOS 12.3,tvOS 12.3和watchOS 5.2.1。延遲更新裝置的使用者仍然容易受到此攻擊。
SQLITE漏洞可用於劫持惡意軟體操作
但是在其他情況下,這些漏洞可以用於“好”。這些案件是針對惡意軟體的。
例如,瀏覽器將使用者資料和密碼儲存在SQLite資料庫中。資訊竊取程式 - 一類惡意軟體 - 專門用於竊取這些SQLite使用者資料檔案並將檔案上載到遠端命令和控制(C&C)伺服器。
這些C&C伺服器通常用PHP編碼,通過解析SQLite檔案來提取使用者的瀏覽器資料,以便在惡意軟體的基於Web的控制皮膚中顯示它。
Gull表示,就像iMessage攻擊一樣,SQLite漏洞可用於在惡意軟體的C&C伺服器上執行程式碼並接管騙子的系統。
“考慮到幾乎任何平臺幾乎都內建了SQLite,我們認為當涉及到它的開發潛力時,我們幾乎沒有觸及冰山一角,”Gull說。
依賴於SQLite的應用程式包括Skype,任何網路瀏覽器,任何Android裝置,任何iTunes例項,Dropbox同步客戶端,汽車多媒體系統,電視機和機頂盒有線電視盒以及其他一些應用程式。
“我們希望安全社群能夠利用這一創新研究和釋出的工具,進一步推動它。”
來源:ZDNet