ZipperDown漏洞來了！微博、陌陌、快手等常用 iOS 應用恐要中招

雷鋒網消息，5月15日，盤古實驗室對外宣布，他們在針對不同客戶的 iOS 應用安全審計過程中，發現了一類通用的安全漏洞－－－ZipperDown漏洞。

10%的iOS應用可能受ZipperDown漏洞的影響

據其介紹，創建漏洞指紋后，他們在Janus平臺(appscan.io)上進行溯源分析和相似漏洞檢索，結果發現約10%的iOS應用可能受ZipperDown漏洞的影響。通過對收集到的168951個iOS應用的查詢，發現了15979個應用可能受此漏洞的影響，已經確認微博、陌陌、網易云音樂、QQ音樂、快手等流行應用受影響。

ZipperDown漏洞演示視頻鏈接：

https://mp.weixin.qq.com/s/SMpBQ4mZQLVLfgK7f84OYA

目前，為保證用戶安全，漏洞細節暫不對外公開，除了iOS，盤古實驗室透露，在Android平臺同樣發現了類似漏洞，并且已經在大量流行應用中確認。

ZipperDown漏洞有什么危害？

如果用戶在不安全WiFi環境里下載并使用微博，會讓攻擊者利用該漏洞獲取了微博應用中任意代碼執行能力。

ZipperDown漏洞危害與受影響應用功能及權限相關。在某些應用中，攻擊者僅能利用ZipperDown漏洞破壞應用數據；但在某些應用中，攻擊者也可能獲取任意代碼執行能力（參考漏洞演示視頻）。此外，iOS系統的沙箱等也會限制ZipperDown漏洞的攻擊范圍。

如何來檢測ZipperDown漏洞？

通過指紋匹配可以獲取疑似受影響的應用列表。但該漏洞形態靈活、變種類型多樣，指紋匹配的漏報率很高，所以建議通過人工分析的方式確認漏洞是否存在。

ZipperDown漏洞攻擊場景與受影響應用業務場景相關。常見攻擊場景包括：在不安全網絡環境下使用受影響應用、在攻擊者誘導下使用某些應用功能等。

消息來源：盤古實驗室

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。