ZipperDown漏洞来了！微博、陌陌、快手等常用 iOS 应用恐要中招

宅客频道消息，5月15日，盘古实验室对外宣布，他们在针对不同客户的 iOS 应用安全审计过程中，发现了一类通用的安全漏洞－－－ZipperDown漏洞。

10%的iOS应用可能受ZipperDown漏洞的影响

据其介绍，创建漏洞指纹后，他们在Janus平台(appscan.io)上进行溯源分析和相似漏洞检索，结果发现约10%的iOS应用可能受ZipperDown漏洞的影响。通过对收集到的168951个iOS应用的查询，发现了15979个应用可能受此漏洞的影响，已经确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响。

ZipperDown漏洞演示视频链接：

https://mp.weixin.qq.com/s/SMpBQ4mZQLVLfgK7f84OYA

目前，为保证用户安全，漏洞细节暂不对外公开，除了iOS，盘古实验室透露，在Android平台同样发现了类似漏洞，并且已经在大量流行应用中确认。

ZipperDown漏洞有什么危害？

如果用户在不安全WiFi环境里下载并使用微博，会让攻击者利用该漏洞获取了微博应用中任意代码执行能力。

ZipperDown漏洞危害与受影响应用功能及权限相关。在某些应用中，攻击者仅能利用ZipperDown漏洞破坏应用数据；但在某些应用中，攻击者也可能获取任意代码执行能力（参考漏洞演示视频）。此外，iOS系统的沙箱等也会限制ZipperDown漏洞的攻击范围。

如何来检测ZipperDown漏洞？

通过指纹匹配可以获取疑似受影响的应用列表。但该漏洞形态灵活、变种类型多样，指纹匹配的漏报率很高，所以建议通过人工分析的方式确认漏洞是否存在。

ZipperDown漏洞攻击场景与受影响应用业务场景相关。常见攻击场景包括：在不安全网络环境下使用受影响应用、在攻击者诱导下使用某些应用功能等。

消息来源：盘古实验室

雷锋网宅客频道招人了！

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；针对不同发布渠道，策划不同类型选题；参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 程序媛| 以图搜图 心脏滴血 | 撞库攻击 | 黑客猎人 刷票 | 人肉 | 炸群 | 内鬼 恶性病毒怼天怼地怼对手 真相篇 ▼ 这是一场针对高级知识分子的裸聊诈骗 打“农药”刷金币：我的队友原来是个机器人 黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人 iPhone充电器可以当监听器？我到某宝试了下 当俄罗斯黑客遇到老虎机 发家致富？ 一个自动挖掘工具，能找到比核武器更可怕的漏洞 “老婆，开门”，隔壁老王带来的恐惧 无人机越狱? 资深女黑客一怒“打飞机” 自从安了智能门锁，家里闹妖精？ 中国安全圈真实薪资曝光 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 世界上最坚固的门轰塌后，如何再建 这个黑客在体内植入9块芯片后…… 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注