您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给郭佳
发送

0

ZipperDown漏洞来了!微博、陌陌、快手等常用 iOS 应用恐要中招

本文作者: 郭佳 2018-05-15 22:34
导语:据说受影响的 iOS 应用可能占到10%,攻击者可获得任意代码执行能力。

雷锋网消息,5月15日,盘古实验室对外宣布,他们在针对不同客户的 iOS 应用安全审计过程中,发现了一类通用的安全漏洞---ZipperDown漏洞。

ZipperDown漏洞来了!微博、陌陌、快手等常用 iOS 应用恐要中招

10%的iOS应用可能受ZipperDown漏洞的影响

据其介绍,创建漏洞指纹后,他们在Janus平台(appscan.io)上进行溯源分析和相似漏洞检索,结果发现约10%的iOS应用可能受ZipperDown漏洞的影响。通过对收集到的168951个iOS应用的查询,发现了15979个应用可能受此漏洞的影响,已经确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响。

ZipperDown漏洞演示视频链接:

https://mp.weixin.qq.com/s/SMpBQ4mZQLVLfgK7f84OYA

目前,为保证用户安全,漏洞细节暂不对外公开,除了iOS,盘古实验室透露,在Android平台同样发现了类似漏洞,并且已经在大量流行应用中确认。

ZipperDown漏洞有什么危害?

如果用户在不安全WiFi环境里下载并使用微博,会让攻击者利用该漏洞获取了微博应用中任意代码执行能力。

ZipperDown漏洞危害与受影响应用功能及权限相关。在某些应用中,攻击者仅能利用ZipperDown漏洞破坏应用数据;但在某些应用中,攻击者也可能获取任意代码执行能力(参考漏洞演示视频)。此外,iOS系统的沙箱等也会限制ZipperDown漏洞的攻击范围。

如何来检测ZipperDown漏洞?

通过指纹匹配可以获取疑似受影响的应用列表。但该漏洞形态灵活、变种类型多样,指纹匹配的漏报率很高,所以建议通过人工分析的方式确认漏洞是否存在。

ZipperDown漏洞攻击场景与受影响应用业务场景相关。常见攻击场景包括:在不安全网络环境下使用受影响应用、在攻击者诱导下使用某些应用功能等。

消息来源:盘古实验室

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说