Apple新聞 iOS安全防護

iOS與Android平台爆發重大ZipperDown漏洞,LINE、IG等App都遭殃

盤古團隊在今日(15)對外發佈最新重大漏洞警告,宣稱最近替iOS應用審查時,發現一類通用的安全漏洞 ZipperDown,目前已經確認 App Store  大約將近有 1萬5千多個 App 都遭受到影響,例如 LINE 、Instagram、Google、Dropbox、Yahoo!、MOZE、小米商城、微博、QQ音樂、Day One 等多款知名 App 都是在危險名單中,此漏洞不光是在 iOS 系統上出現,連同 Android 也同樣遭受影響。

ZipperDown 漏洞

盤古團隊說明 ZipperDown 漏洞攻擊手法,當用戶連上公開或不安全 WiFi 網路環境下,開啟使用遭受漏洞攻擊的 App ,駭客就可透過此漏洞代碼進行遠端攻擊,並且近一步獲得應用程式權限,就能破壞應用程式內的數據資料,有些應用甚至更嚴重還能夠獲取任意代碼執行能力。

受影響 App 名單

目前可透過盤古網站上查詢到受影響的有 LINE 、Instagram、Google、微博、小米商城、小米影視、秒拍、美播、MOZE、富邦e點通、合作金庫銀行、Line Runner 2、Line Runner、LINE PLAY、LINE Greeting Card、LINE DECO、Amazon、Yahoo!、Nike+ Fuel、Nike Training、Google Events、MyMoneyPro、Dropbox、支付宝、TubePlayer等,均在這次名單中,且此名單還沒檢測結束,還會不斷增加中。

查詢更多受影響 App 請到:https://zipperdown.org

目前統計資料也經快接近1萬6千組,表示App Store 受影響的 App 已經佔了 10%,就算能透過指紋比對方式來檢測各個 App 是否遭受影響,由於 ZipperDown 漏洞靈活多變,導致有些 App 會遭到漏報,目前也只能透過人工進行檢測分析。

如果你是疑似受影響App的開發者,趕緊與盤古團隊進行聯繫([email protected]),他們會告訴你漏洞細節並輔助你進行ZipperDown漏洞的排查。

Q&A 時間

1. ZipperDown漏洞影響了多少應用?

通過對收集到的168,951個iOS應用的查詢,我們發現15,979個應用可能受此漏洞的影響,佔比高達10%。疑似受影響的應用可通過zipperdown.org進行查看。

2. 我是Android用戶,是否受ZipperDown影響?

我們在Android平台同樣發現了類似漏洞,並且已經在大量流行應用中確認。Android平台的ZipperDown漏洞分析報告敬請期待。

3. ZipperDown漏洞有什麼危害?

ZipperDown漏洞危害與受影響應用功能及權限相關。在某些應用中,攻擊者僅能利用ZipperDown漏洞破壞應用數據;但在某些應用中,攻擊者也可能獲取任意代碼執行能力(參考漏洞演示視頻)。此外,iOS系統的沙箱等也會限制ZipperDown漏洞的攻擊範圍。

4. 如何來檢測ZipperDown漏洞?

通過指紋匹配可以獲取疑似受影響的應用列表。但該漏洞形態靈活、變種類型多樣,指紋匹配的漏報率很高。所以我們建議通過人工分析的方式確認漏洞是否存在。

5. ZipperDown漏洞如何觸發?

ZipperDown漏洞攻擊場景與受影響應用業務場景相關。常見攻擊場景包括:在不安全網絡環境下使用受影響應用、在攻擊者誘導下使用某些應用功能等。

6. ZipperDown漏洞是如何被發現的?

盤古實驗室在為客戶提供的iOS應用安全審計業務中,注意到不同客戶的iOS應用中普遍存在ZipperDown問題;進一步借助Janus平台,發現該漏洞影響iOS和Android平台上大量應用。因此我們把該漏洞認定為一個通用型漏洞,對外公佈疑似受影響應用列表。

7. 關於我們
盤古實驗室是上海犇眾信息技術有限公司組建的以盤古團隊為核心的安全實驗室。實驗室在移動互聯網領域開展了廣泛的安全研究,深入分析了各種移動設備的硬件、系統、應用和網絡各層的安全架構,研究發現移動互聯網大量潛在安全問題的同時,在高級防禦技術及解決方案等方向上形成了一系列成果和產品。

▼ 如果覺得本篇教學不錯,歡迎加入瘋先生粉絲團追最新教學技巧 ▼