近日,移动互联网安全研究团队盘古实验室在针对不同客户的iOS应用安全审计的过程中,发现一类通用的安全漏洞ZipperDown。这个漏洞可以对应用程序进行破坏,影响应用正常的功能和权限,其中就包含了大家常用的微博、网易云音乐、QQ音乐、快手等热门应用程序。
而盘古实验室为保证用户的安全,暂未公布ZipperDown漏洞的细节。只是表示,用户在不安全的Wi-Fi环境下使用受影响的应用时,攻击者能利用该漏洞获取微博应用中执行任意代码的能力。
目前,盘古实验室已经对收集到的168951个iOS应用程序进行检测,发现其中有10%的应用程序可能受此漏洞的影响。此外,盘古实验室还在在Android平台同样发现了类似漏洞,并已经在大量流行应用中确认该漏洞的存在。
同时,盘古实验室给出了如何检测ZipperDown漏洞的方法。通过指纹匹配的方式可以知道疑似受影响的程序列表。但由于该漏洞变种类型多样,还是推荐使用人工分析的方式确认漏洞是否存在。