安全動態(tài)

中國安全團(tuán)隊(duì)發(fā)現(xiàn)ZipperDown漏洞 陌陌快手都中招

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-05-19    瀏覽次數(shù):
 

信息來源:secdoctor

ZipperDown不是系統(tǒng)本身而是第三方App中存在的一個漏洞

5月17日上午消息,中國的安全團(tuán)隊(duì)盤古實(shí)驗(yàn)室稱,他們發(fā)現(xiàn)了名為“ZipperDown”的App程序漏洞,存在于網(wǎng)易云音樂、QQ音樂、快手等流行App中。

這并非是iOS系統(tǒng)本身的問題,而是來自第三方App。它并不是新漏洞,而是一個”非常經(jīng)典的安全問題“,其影響取決于具體App和它獲得的權(quán)限。漏洞危害則是同受影響應(yīng)用功能及權(quán)限密切相關(guān)。比如,在某些應(yīng)用中,攻擊者僅能利用ZipperDown漏洞破壞應(yīng)用數(shù)據(jù);但在另外一些應(yīng)用中,攻擊者也可能獲取任意代碼執(zhí)行能力。

在不安全的網(wǎng)絡(luò)環(huán)境下,黑客可以通過此漏洞獲取應(yīng)用中任意代碼執(zhí)行能力。

這個團(tuán)隊(duì)做了一個頁面zipperdown.org,稱他們分析了168951個iOS應(yīng)用,發(fā)現(xiàn)15979個應(yīng)用可能受此漏洞的影響,通過此比例推算,這個漏洞有可能影響了大約10%的App。受影響App列表中有提到了微博、陌陌、網(wǎng)易云音樂、QQ音樂、快手等流行App。

需要注意的是,這個漏洞并不只存在于iOS版App中,在Android中依舊有,只不過iOS的沙箱機(jī)制可以對攻擊范圍有一定限制。

盤古原本是研究iOS系統(tǒng)越獄(即民間開發(fā)者獲取iOS系統(tǒng)高級權(quán)限的做法)的團(tuán)隊(duì)。除了他們,Will Strafach,另一個越獄研究大神也獲得了關(guān)于ZipperDown的詳細(xì)信息,并認(rèn)為它更多體現(xiàn)的是“一種意想不到的方式”的攻擊方式。

Strafach和盤古都不愿分享更多漏洞信息,他解釋說,這些App漏洞公開的話可能會被黑客所濫用,他告誡說:“但如果你連接公共Wi-Fi網(wǎng)絡(luò),甚至是蹭別人的網(wǎng),就有可能存在風(fēng)險(xiǎn)”。

不過也有好消息,因?yàn)檫@不是啥新漏洞,而是非系統(tǒng)級,只是存在第三方App上,所以容易修復(fù),對一般用戶來說,別亂蹭網(wǎng),及時(shí)更新自己手機(jī)中的App就好。

 
 

上一篇:趨利避害,擁抱人工智能新時(shí)代

下一篇:2018年05月18日 聚銘安全速遞