Prezentă pe toate modelele iPhone, aplicaţia Contacts include de mulţi ani o vulnerabilitate care permite compromiterea dispozitivelor

Deşi este considerată una dintre cele mai sigure platforme pentru dispozitive mobile, iOS este departe de a fi alternativa perfectă la Android, grupările de hackeri căutând în mod constant vulnerabilităţi pe care să le exploateze în atacuri informatice. Însă rareori se întâmplă ca o vulnerabilitate nou descoperită să rămână mult timp neremediată, Apple având o politică foarte strictă pentru remedierea acestor probleme. Chiar şi aşa, unele probleme reuşesc să treacă neobservate, punând sub semnul întrebării capacitatea Apple de a asigura în mod realist nivelul de securitate promis utilizatorilor.

Menţionat prima dată public în urmă cu 4 ani, un bug care afectează funcţia de căutare integrată în aplicaţia Contacts poate fi folosită de un atacator experimentat, intrat în posesia telefonului sau tabletei cu iOS, pentru a determina executarea de cod arbitrar şi chiar blocarea aplicaţiei de securitate instalată pe dispozitiv. Vulnerabilitatea care afecta iniţial şi platforma Mac OS X, nu a fost remediată şi pentru iOS, Apple considerând-o mai puţin periculoasă din pricina faptului că atacul presupune ca o aplicaţie neinclusă pe lista celor de încredere (trusted apps) să aibă acces la baza de date SQLite de pe iOS. În mod normal, utilizatorilor nu le este permisă folosirea de aplicaţii din afara magazinului oficial App Store.

Cu toate acestea, cercetătorii au ţinut să demonstreze că până şi o aplicaţie verificată poate fi „convinsă” să facă lucruri nepermise, iar aplicaţia Contacts App preinstalată pe dispozitivele iOS era ţinta perfectă. Manipulată prin introducerea unor comenzi speciale în caseta folosită în mod normal pentru căutare în lista de contacte, aplicaţia Contacts răspunde în moduri imprevizibile, cauzând crash-ul altor aplicaţii şi chiar facilitând furtul de parole.

Vestea bună este că atacul funcţionează doar cu acces direct asupra telefonului iPhone şi necesită cunoştinţe solide pe partea de securitate. Însă este posibil ca, lăsată neremediată, vulnerabilitatea aplicaţiei Contacts să fie în cele din urmă folosită împreună cu alte bug-uri iOS nepublice pentru orchestrarea de atacuri la distanţă asupra dispozitivelor Apple.