信息來源:secdoctor
ZipperDown不是系統(tǒng)本身而是第三方App中存在的一個漏洞
5月17日上午消息,中國的安全團隊盤古實驗室稱,他們發(fā)現(xiàn)了名為“ZipperDown”的App程序漏洞�����,存在于網(wǎng)易云音樂、QQ音樂�����、快手等流行App中�����。
這并非是iOS系統(tǒng)本身的問題�,而是來自第三方App����。它并不是新漏洞,而是一個”非常經(jīng)典的安全問題“����,其影響取決于具體App和它獲得的權(quán)限����。漏洞危害則是同受影響應(yīng)用功能及權(quán)限密切相關(guān)���。比如����,在某些應(yīng)用中�����,攻擊者僅能利用ZipperDown漏洞破壞應(yīng)用數(shù)據(jù)�����;但在另外一些應(yīng)用中����,攻擊者也可能獲取任意代碼執(zhí)行能力。
在不安全的網(wǎng)絡(luò)環(huán)境下���,黑客可以通過此漏洞獲取應(yīng)用中任意代碼執(zhí)行能力����。
這個團隊做了一個頁面zipperdown.org,稱他們分析了168951個iOS應(yīng)用��,發(fā)現(xiàn)15979個應(yīng)用可能受此漏洞的影響����,通過此比例推算,這個漏洞有可能影響了大約10%的App����。受影響App列表中有提到了微博、陌陌���、網(wǎng)易云音樂�、QQ音樂���、快手等流行App。
需要注意的是����,這個漏洞并不只存在于iOS版App中,在Android中依舊有��,只不過iOS的沙箱機制可以對攻擊范圍有一定限制。
盤古原本是研究iOS系統(tǒng)越獄(即民間開發(fā)者獲取iOS系統(tǒng)高級權(quán)限的做法)的團隊�����。除了他們�,Will Strafach,另一個越獄研究大神也獲得了關(guān)于ZipperDown的詳細信息���,并認為它更多體現(xiàn)的是“一種意想不到的方式”的攻擊方式��。
Strafach和盤古都不愿分享更多漏洞信息��,他解釋說���,這些App漏洞公開的話可能會被黑客所濫用,他告誡說:“但如果你連接公共Wi-Fi網(wǎng)絡(luò)����,甚至是蹭別人的網(wǎng),就有可能存在風(fēng)險”�����。
不過也有好消息�����,因為這不是啥新漏洞,而是非系統(tǒng)級���,只是存在第三方App上�����,所以容易修復(fù)����,對一般用戶來說����,別亂蹭網(wǎng),及時更新自己手機中的App就好�����。
