Khoảng 1.4 tỷ chiếc iPhone/iPad đang được sử dụng hiện nay đều có nguy cơ bị hack bởi lỗ hổng bảo mật SQLite mà Apple đã không vá trong suốt 4 năm qua.

Cụ thể hơn, Check Point phát hiện rằng ứng dụng Contacts (Danh bạ) mặc định của iOS có thể bị khai thác bằng SQLite, bằng cách này, mọi cuộc tìm kiếm trong ứng dụng danh bạ có thể bị đánh lừa để thiết chạy mã độc cho phép ăn cắp dữ liệu và mật khẩu người dùng.

Theo SlashGear, về căn bản đây không phải là lỗi hoàn toàn thuộc Apple, bởi nói đúng hơn là nó thuộc về SQLite, một trong những cơ sở dữ liệu tiêu chuẩn của Lite được sử dụng phổ biến nhất hiện nay, đặc biệt là trong các nền tảng di động như Android và iOS.

Lỗi này đã được báo cáo lần đầu tiên vào năm 2015, và cả macOS X và iOS đều bị ảnh hưởng, nhưng hiện nó vẫn chưa được Apple khắc phục ở nền tảng iOS. Theo các nhà nghiên cứu bảo mật tại Check Point, lý do đơn giản là vì Apple không cho rằng nó đủ quan trọng để khắc phục, bởi chỉ những ứng dụng không đáng tin cậy mới có thể khai thác lỗ hổng dựa trên cơ sở dữ liệu SQLite của iOS, mà iOS lại không có ứng dụng nào là không đáng tin cậy.

Tuy nhiên, Apple đã không lường trước rằng, hacker có thể khiến những ứng dụng, dù đáng đáng tin cậy cỡ nào, cũng hoạt động thất thường. Chẳng hạn như trong thử nghiệm mới đây, các nhà nghiên cứu bảo mật tại Check Point đã sửa đổi ứng dụng Danh bạ trên iOS của Apple để nhập lệnh khi tìm kiếm danh bạ, từ đó có thể làm hỏng ứng dụng hoặc làm những việc ngoài ý muốn khác, như đánh cắp mật khẩu người dùng,…

Hiện tại, Apple vẫn chưa đưa ra bất cứ bình luận nào sau báo cáo của Check Point.