La bibliothèque SQLite est utilisée par tous les systèmes d’exploitation, dont iOS, pour notamment regrouper la liste des contacts. La firme de sécurité Check Point a déniché une faille dans SQLite et une démonstration a été faite.

Check Point a choisi de faire sa démonstration sur un iPhone et explique qu’une modification du bout de code de l’application Contacts, ainsi qu’un bug qui existe depuis quatre ans (!), permet de faire diverses choses sur un iPhone. Au cours de la démonstration, Check Point a seulement fait planter le téléphone. Mais la firme assure qu’il est possible de faire plus de dégâts, comme récupérer les informations sur l’iPhone, dont les mots de passe enregistrés par l’utilisateur.

Concernant le bug qui existe depuis quatre ans. Il n’a pas été corrigé pendant tout ce laps de temps parce que son exploitation nécessite une application inconnue qui accède à la bibliothèque SQLite. iOS est un système fermé et cette étape n’est, en théorie, pas possible. Et pourtant, Check Point a réussi à créer une application qui est jugée comme « officielle » par iOS et qui, par conséquent, peut accéder à la base de données.

Il y a une bonne nouvelle dans l’affaire : Check Point a averti Apple et c’est maintenant de l’histoire ancienne. La faille a été corrigée avec iOS 12.3, assurez-vous donc d’être à jour pour un maximum de sécurité.