5月17日上午消息,中国的安全团队盘古实验室称,他们发现了名为“ZipperDown”的App程序漏洞,存在于网易云音乐、QQ音乐、快手等流行App中。
ZipperDown不是系统本身而是第三方App中存在的一个漏洞
这并非是iOS系统本身的问题,而是来自第三方App。它并不是新漏洞,而是一个”非常经典的安全问题“,其影响取决于具体App和它获得的权限。漏洞危害则是同受影响应用功能及权限密切相关。比如,在某些应用中,攻击者仅能利用ZipperDown漏洞破坏应用数据;但在另外一些应用中,攻击者也可能获取任意代码执行能力。
在不安全的网络环境下,黑客可以通过此漏洞获取应用中任意代码执行能力。
这个团队做了一个页面zipperdown.org,称他们分析了168951个iOS应用,发现15979个应用可能受此漏洞的影响,通过此比例推算,这个漏洞有可能影响了大约10%的App。受影响App列表中有提到了微博、陌陌、网易云音乐、QQ音乐、快手等流行App。
需要注意的是,这个漏洞并不只存在于iOS版App中,在Android中依旧有,只不过iOS的沙箱机制可以对攻击范围有一定限制。
盘古原本是研究iOS系统越狱(即民间开发者获取iOS系统高级权限的做法)的团队。除了他们,Will Strafach,另一个越狱研究大神也获得了关于ZipperDown的详细信息,并认为它更多体现的是“一种意想不到的方式”的攻击方式。
Strafach和盘古都不愿分享更多漏洞信息,他解释说,这些App漏洞公开的话可能会被黑客所滥用,他告诫说:“但如果你连接公共Wi-Fi网络,甚至是蹭别人的网,就有可能存在风险”。
不过也有好消息,因为这不是啥新漏洞,而是非系统级,只是存在第三方App上,所以容易修复,对一般用户来说,别乱蹭网,及时更新自己手机中的App就好。 
