CopyRight©2020-2030 www.poppur.com
近年来iOS的安全性能呈明显的下降趋势,经常都会听见iOS系统出现漏洞,过往的“iOS绝对安全论”现在已经不奏效了。而且无奈的是,这漏洞可是一波接一波呀...根据盘古团队的消息,他们在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞—ZipperDown。创建漏洞指纹后,他们在Janus平台(appscan.io)上进行溯源分析和相似漏洞检索,结果发现约10%的iOS应用可能受此漏洞的影响。经过盘古团队手工分析,确认微博、陌陌、网易云音乐、QQ音乐、快手等主流App均受影响。
盘古团队介绍,ZipperDown漏洞的危害与受影响应用功能及权限相关。在某些应用中,攻击者仅能利用ZipperDown漏洞破坏应用数据;但在某些应用中,攻击者也可能获取任意代码执行能力(参考漏洞演示视频)。此外,iOS系统的沙箱等也会限制ZipperDown漏洞的攻击范围。此外POPPUR了解到,ZipperDown漏洞攻击场景与受影响应用业务场景相关。常见攻击场景包括:在不安全网络环境下使用受影响应用、在攻击者诱导下使用某些应用功能等。(以下为ZipperDown漏洞演示视频)
所以,想要避免中招,最有效的方法就是先检测App是否受影响,然后避免在不安全的网络环境下使用该App。疑似受影响的App可在https://zipperdown.org查询。
上一篇:巧用PicsArt,1分钟制作《复仇者联盟3》人物粒子消失特效
下一篇:粤省事小程序上线:可线上办理142项民生服务(社保公积金税务等)