freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安卓、iOS双平台现重大安全漏洞,微博、网易云音乐等大型应用均受影响
2018-05-15 20:26:14

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

2018年5月15日,盘古团队在微信发布重大漏洞预警。称在iOS 应用安全审计中发现一类通用安全漏洞,在不安全的WIFI环境下载使用微博,攻击者可以获取微博中任意代码执行能力,并且在安卓平台发现了类似漏洞。

iphone-crashing-prank-video-bug-and-our-uncertain-security-future-100695025-large.jpg

研究人员把漏洞命名为ZipperDown,这是一个常见的编程错误,导致的后果是数据覆盖,存在漏洞的应用甚至可以被黑客用来执行代码。

盘古实验室开发了自动化的扫描规则,并且在漏洞官网提供漏洞应用列表。在持续更新的疑似受影响的应用列表中,目前已经有近16000个应用,其中包括QQ音乐、微博、QQ 空间、快手、微信读书等。

TIM截图20180515200241.pngTIM截图20180515200400.png

盘古实验室透露,ZipperDown 漏洞危害与受影响应用功能及权限相关。在某些应用中,攻击者仅能利用ZipperDown漏洞破坏应用数据,而在某些应用中攻击者也能够获取任意代码执行能力。

在不安全WIFI下下载使用WIFI的漏洞利用演示

对已经收集到的近17万应用检测发现,受影响的应用占比高达10%。尽管可以通过指纹匹配的方式来检测应用是否受影响,但ZipperDown漏洞形态灵活多变,导致较高的漏报率。因此最可靠的方式还是人工分析。

鉴于该漏洞影响深远,盘古实验室目前并不会公开漏洞细节。同时积极与应用开发者合作,共同排查此漏洞:

目前,为保证用户安全,漏洞细节暂不对外公开。

如果你是疑似受影响App的开发者,请与我们联系,我们会告诉你漏洞细节并辅助你进行ZipperDown漏洞的排查。

Android平台也遭殃

盘古实验室研究人员还表示,Android应用同样也存在相关问题,他们会在未来公布更多细节。

好消息是,漏洞的影响没有那么的严重,要想进行攻击,黑客必须能够劫持或者嗅探网络流量,另外,iOS和Android的沙盒机制也会限制ZipperDown漏洞的影响。

*参考来源:ZipperDown,由Andy整理,转载请注明来自FreeBuf.COM

# 漏洞 # 安卓 # 微博 # ios
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者