催升級(jí)的節(jié)奏?蘋果IOS曝安全漏洞,主流APP受影響
根據(jù)盤古實(shí)驗(yàn)室針對不同客戶的iOS應(yīng)用安全審計(jì)過程中,發(fā)現(xiàn)了一類通用的安全漏洞ZipperDown,攻擊者可以通過該漏洞對應(yīng)用程序進(jìn)行破壞,讓應(yīng)用功能和權(quán)限受到影響,目前已經(jīng)排查出約10%的iOS應(yīng)用可能有此問題,這些大概有15979個(gè)應(yīng)用,包括微博、網(wǎng)易云音樂、QQ音樂、快手、陌陌等。安卓平臺(tái)也有類似漏洞,目前正在確認(rèn)。
通過給出的測試視頻,我們可以看到,用戶在不安全的WiFi環(huán)境下使用微博,攻擊者可以利用該漏洞獲取微博應(yīng)用中任意代碼執(zhí)行能力。根據(jù)盤古實(shí)驗(yàn)室的描述,這個(gè)漏洞本身比較經(jīng)典,但是在iOS應(yīng)用中大面積存在實(shí)屬罕見。
目前,用戶可以通過盤古實(shí)驗(yàn)室提供的ZipperDown漏洞網(wǎng)站查看受影響的應(yīng)用,該受影響的名單正在持續(xù)更新。IT之家將會(huì)進(jìn)一步關(guān)注。