ZipperDown漏洞来了！ 微博等多款国内主流App均中招

　　原标题：ZipperDown漏洞来了！ 微博等多款国内主流App均中招

　　雷锋网消息，5月15日，盘古实验室对外宣布，他们在针对不同客户的iOS应用安全审计过程中，发现了一类通用的安全漏洞---ZipperDown漏洞。

　　10%的iOS应用可能受ZipperDown漏洞的影响

　　据其介绍，创建漏洞指纹后，他们在Janus平台(appscan.io)上进行溯源分析和相似漏洞检索，结果发现约10%的iOS应用可能受ZipperDown漏洞的影响。通过对收集到的168951个iOS应用的查询，发现了15979个应用可能受此漏洞的影响，已经确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响。

　　ZipperDown漏洞演示视频链接:

　　目前，为保证用户安全，漏洞细节暂不对外公开，除了iOS，盘古实验室透露，在Android平台同样发现了类似漏洞，并且已经在大量流行应用中确认。

　　ZipperDown漏洞有什么危害?

　　如果用户在不安全WiFi环境里下载并使用微博，会让攻击者利用该漏洞获取了微博应用中任意代码执行能力。

　　ZipperDown漏洞危害与受影响应用功能及权限相关。在某些应用中，攻击者仅能利用ZipperDown漏洞破坏应用数据;但在某些应用中，攻击者也可能获取任意代码执行能力(参考漏洞演示视频)。此外，iOS系统的沙箱等也会限制ZipperDown漏洞的攻击范围。

　　如何来检测ZipperDown漏洞?

　　通过指纹匹配可以获取疑似受影响的应用列表。但该漏洞形态灵活、变种类型多样，指纹匹配的漏报率很高，所以建议通过人工分析的方式确认漏洞是否存在。

　　ZipperDown漏洞攻击场景与受影响应用业务场景相关。常见攻击场景包括:在不安全网络环境下使用受影响应用、在攻击者诱导下使用某些应用功能等。