您现在的位置: 天极网 > IT新闻 > 业内快讯

ZipperDown漏洞来袭,爱加密推出安全解决方案

Yesky天极新闻 2018-05-17 18:12 我要吐槽

  【天极网IT新闻频道】近日盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞-ZipperDown安全漏洞,攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。由于该漏洞广泛应用于IOS平台,导致大量APP受影响,构成较为严重的攻击威胁。

  此漏洞目前主要发现在iOS应用上,截止到今日统计,受影响iOS APP已经过1.5万,影响范围十分广泛,并且安卓平台上存在大量应用受到同类漏洞的影响。针对该漏洞,爱加密第一时间分析并推出检测方案,检测App是否存在此漏洞,同时提出解决方案。

  针对此漏洞的攻击条件:

  1、App用了ZipArchive

  2、App下发的某个zip包传输过程没加密,zip包也没加密

  3、App使用了JSPatch或其他执行引擎,且本地脚本没有加密,只要把脚本放指定目录即可执行,且未对本地脚本进行合法性验证

  4、用户连接不可靠WIFI热点进行网络通信

  针对此漏洞的规避方法;开发者自身规避方法:

  1、对SSZipArchive库进行修复,在unzipFileAtPath解压函数中,对可能造成目录穿越的”../”字符串时进行拦截。

  2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;

  3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性、合法性验证,防止被替换;

  4、对APP中本地脚本进行加密,并对本地脚本进行完整性、合法性验证,防止被替换;

  扩展:ZipperDown并不是新漏洞,而是“非常经典的安全问题”,其影响主要取决于具体App和它所获取的权限,并且也同样在Android平台发现了类似漏洞“文件目录遍历漏洞”

  关于文件目录遍历漏洞,漏洞产生前提:

  Android应用中使用了解压缩文件,比如动态加载机制,下载apk/zip,然后本地做解压工作;

  漏洞出现原因:

  因ZipOutputStream类对文件进行压缩时,未对文件名做任何限制,如果下载的zip包被恶意拦截,进行修改,即可将文件名命名为“../../../../data/data/xxx.xxx.x/xxx”,因为Android是基于Linux系统的,在Linux系统中../这个符号代表是回到上层目录,那么这里可以多弄几个这个符号,这样就会回到Android系统的根目录,然后在进入当前应用的沙盒目录下,写一个文件。

  存在的风险:

  攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。

  规避措施;开发者自身规避方法:

  1、对ZipEntry进行解压时,过滤对具有特殊字符的文件进行解压,或者解压到本地文件名称不能包含特殊字符;

  2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;

  3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性、合法性验证,防止被替换;

  爱加密安全解决方案:

  1、爱加密提供此漏洞评测方案,检测App是否存在此漏洞;

  2、使用爱加密通讯协议加密SDK,对通信过程中的数据进行加密,并保证数据不被篡改;

  用户安全解决方案:

  不要使用未经认证的WIFI热点,并及时更新手机中的App;

  查看应用是否受此漏洞影响,点击此地址进行查询:https://zipperdown.org/

(广告资讯)
免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
今日更新
1这E天:腾讯回应封杀竞品质疑
这E天

腾讯回应封杀竞品质疑;小米宣布攻克两项屏幕指纹新技术,闭着眼睛就能解锁…

2OPPO发布10倍混合光学变焦技术
OPPO变焦技术

今天,OPPO在北京举办了2019未来科技沟通会,发布10倍混合光学变…

3微软宣布win7将退出历史舞台
微软

近日,微软正式宣布将在2020年1月14日停止对Windows7的外延…

4任正非接受采访再谈网络安全
华为任正非

任正非说:“在涉及网络安全以及隐私保护问题时,我们致力于和客户站在一起…

5千款新品支持天猫“先享后付”
天猫先享后付

目前,1000多款家电数码新品支持天猫“先享后付”服务,芝麻信用在65…

热门文章
1大公司:库克工资超1500万美元
大公司晨读

库克去年工资超过了1500万美元;世界首富亚马逊CEO贝索斯决定和妻子…

2数据:iPhone XR份额超XS
iPhone XS

近日有外媒报道,数据显示iPhone XR 的使用数量已经超过了 iP…

3荣耀跨界美食领域与必胜客合作
荣耀必胜客

今日,荣耀官方发布一条消息称:“荣耀MagicBook联合必胜客中国搞…

4红米Note7能否重新定义千元机
红米Note 7

在发布会上,雷军不止一次提到“死磕性价比”,那么这场发布会上,有哪些亮…

5大公司:雷军发布会炮轰友商
大公司晨读

小米发布独立品牌红米Redmi;三星S10来了;特斯拉在中国已成立15…

6权威预测:2018年iMac销量下跌
苹果imac电脑

Gartner公司预测的数据显示,第四季度苹果公司的Mac电脑出货量为…

7大公司:雷军回应小米股价下跌
大公司晨读

2019款iPhone考虑使用三星和联发科的基带芯片;瞄准腾讯微信,字…

8OPPO入Qi联盟 春节快递不停运
大公司晨读

大公司晨读:苹果AirPower即将发售;罗永浩“没消失,太忙了就没时…

9带你看今年CES上那些黑科技!
CES黑科技

今年的CES已经结束了,都有哪些有趣的内容呢?小编来带大家回顾一下!

10苹果AirPower已在立讯代工生产
苹果AirPower

供应链消息称,苹果AirPower已经开始备货,目前代工商立讯正在加大…

每日IT极热