微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

安卓、iOS双平台现重大安全漏洞,微博、网易云音乐等大型应用均受影响

2018-05-16 17:59 看雪学院

盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞。创建漏洞指纹后,我们在Janus平台上进行溯源分析和相似漏洞检索,结果发现约10%的iOS应用可能受此漏洞的影响。


经过手工分析,确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响。




漏洞演示视频中,用户在不安全WiFi环境里下载并使用微博;攻击者利用该漏洞获取了微博应用中任意代码执行能力。


对已经收集到的近17万应用检测发现,受影响的应用占比高达10%。尽管可以通过指纹匹配的方式来检测应用是否受影响,但ZipperDown漏洞形态灵活多变,导致较高的漏报率。因此最可靠的方式还是人工分析。


目前,为保证用户安全,漏洞细节暂不对外公开。由于漏洞影响范围之广,我们无法逐一验证所有疑似受影响的应用,也无法逐一通告给所有疑似受影响的应用开发者。因此,我们通过公布疑似受影响漏洞列表的方式,邀请开发者和我们协同排查此漏洞。



来源:ZipperDown



往期热门资讯:



扫描二维码,获得更多新鲜资讯!



 
看雪学院 更多文章 新手分享 | 再谈FS寄存器 某壳分析+修复(二) 污点分析挖掘漏洞演示——如何在8小时内从零发现cve2012-0158(word溢出漏洞) Android so加固 CVE-2012-1875简单分析
猜您喜欢 [职场] 水未到渠不成 好的安全工具就该藏着? 野狗实时数据同步(Sync)新增 Webhook 功能 | 野狗新产品和更新 VOL.4 当AI与量子计算赤裸相对,即是无尽的“诱惑” Docker化运维方式