Các cơ sở dữ liệu SQLite có thể được sửa đổi theo cách khác nhau để thực thi mã độc bên trong các ứng dụng dựa trên nền tảng của ứng dụng đó để lưu trữ dữ liệu. Các nhà nghiên cứu bảo mật đã tiết lộ trong các bài giới thiệu tại hội nghị bảo mật DEF CON Las Vegas, Hội đồng Check Point Omer Gull đã cho thấy các bản demo của cơ sở dữ liệu SQLite bị nhiễm độc chiếm quyền điều khiển máy chủ và kiểm soát và phần mềm độc hại sử dụng SQLite để hoạt động ngầm trên các thiết bị iOS.
Ý tưởng này bắt nguồn từ các các lỗ hổng trong cách các ứng dụng của bên thứ ba cho phép đọc dữ liệu từ cơ sở dữ liệu SQLite, mã độc sẽ ẩn trong bên thứ ba của cơ sở dữ liệu SQLite. Khi ứng dụng của bên thứ ba, chẳng hạn như iMessage, đọc cơ sở dữ liệu SQLite bị nhiễm độc, nó cũng vô tình thực thi mã ẩn. Trong bản demo iMessage được trình bày tại DEF CON, Gull đã cho thấy phần mềm độc hại hoặc tác nhân đe dọa quản lý để thay thế hoặc chỉnh sửa tệp “addressBook.sqlitedb” có thể chèn mã độc vào sổ địa chỉ của iPhone. Khi iMessage truy vấn tệp SQLite này, mà iMessage thường xuyên thực hiện, mã độc sẽ chạy và cho phép phần mềm độc hại sẽ dần chiếm được quyền khởi động trên thiết bị. Mặc dù điều này có vẻ hợp lý, nhưng không khó để thực hiện. Gull cho biết Apple không ẩn các tệp dữ liệu SQLite này, vì vậy việc thay chúng là không đáng kể. Do đó, hacker có thể sử dụng để nắm quyền khởi động trên iPhone và các thiết bị macOS.
Apple đã phát hành các bản sửa lỗi (CVE-2019-8600, CVE-2019-8598, CVE-2019-8602, CVE-2019-8577) cho các đợt tấn công SQLite vào tháng 5, với macOS Mojave 10.14.5 , iOS 12.3 , tvOS 12.3 và watchOS 5.2.1 . Người dùng vẫn dễ bị tấn công nếu chưa cập nhật kịp. Ngoài ra vẫn còn một cách đánh cắp khác như trình duyệt lưu trữ dữ liệu người dùng và mật khẩu trong cơ sở dữ liệu SQLite. Một nhóm phần mềm độc hại được thiết kế đặc biệt để đánh cắp các tệp dữ liệu người dùng SQLite này và tải các tệp lên máy chủ và kiểm soát chúng từ xa.
Các máy chủ này thường được mã hóa bằng PHP và hoạt động bằng cách phân tích các tệp SQLite để trích xuất dữ liệu trình duyệt của người dùng, hiển thị nó trong bảng điều khiển dựa trên web của phần mềm độc hại. Gull nói rằng, giống như trong vụ tấn công iMessage, các lỗ hổng SQLite có thể được sử dụng để thực thi mã trên các máy chủ từ xa của phần mềm độc hại và chiếm lấy hệ thống. Trên thực tế, SQLite được tích hợp trên hầu hết mọi nền tảng, các ứng dụng dựa trên SQLite bao gồm Skype, mọi trình duyệt web, mọi thiết bị Android, mọi ứng dụng iTunes, máy khách đồng bộ hóa Dropbox, hệ thống đa phương tiện trên xe hơi, TV và hộp cáp set-top và một loạt các ứng dụng khác.
