信息來源：secdoctor

ZipperDown不是系統(tǒng)本身而是第三方App中存在的一個(gè)漏洞

5月17日上午消息，中國的安全團(tuán)隊(duì)盤古實(shí)驗(yàn)室稱，他們發(fā)現(xiàn)了名為“ZipperDown”的App程序漏洞，存在于網(wǎng)易云音樂、QQ音樂、快手等流行App中。

這并非是iOS系統(tǒng)本身的問題，而是來自第三方App。它并不是新漏洞，而是一個(gè)”非常經(jīng)典的安全問題“，其影響取決于具體App和它獲得的權(quán)限。漏洞危害則是同受影響應(yīng)用功能及權(quán)限密切相關(guān)。比如，在某些應(yīng)用中，攻擊者僅能利用ZipperDown漏洞破壞應(yīng)用數(shù)據(jù)；但在另外一些應(yīng)用中，攻擊者也可能獲取任意代碼執(zhí)行能力。

在不安全的網(wǎng)絡(luò)環(huán)境下，黑客可以通過此漏洞獲取應(yīng)用中任意代碼執(zhí)行能力。

這個(gè)團(tuán)隊(duì)做了一個(gè)頁面zipperdown.org，稱他們分析了168951個(gè)iOS應(yīng)用，發(fā)現(xiàn)15979個(gè)應(yīng)用可能受此漏洞的影響，通過此比例推算，這個(gè)漏洞有可能影響了大約10%的App。受影響App列表中有提到了微博、陌陌、網(wǎng)易云音樂、QQ音樂、快手等流行App。

需要注意的是，這個(gè)漏洞并不只存在于iOS版App中，在Android中依舊有，只不過iOS的沙箱機(jī)制可以對(duì)攻擊范圍有一定限制。

盤古原本是研究iOS系統(tǒng)越獄（即民間開發(fā)者獲取iOS系統(tǒng)高級(jí)權(quán)限的做法）的團(tuán)隊(duì)。除了他們，Will Strafach，另一個(gè)越獄研究大神也獲得了關(guān)于ZipperDown的詳細(xì)信息，并認(rèn)為它更多體現(xiàn)的是“一種意想不到的方式”的攻擊方式。

Strafach和盤古都不愿分享更多漏洞信息，他解釋說，這些App漏洞公開的話可能會(huì)被黑客所濫用，他告誡說：“但如果你連接公共Wi-Fi網(wǎng)絡(luò)，甚至是蹭別人的網(wǎng)，就有可能存在風(fēng)險(xiǎn)”。

不過也有好消息，因?yàn)檫@不是啥新漏洞，而是非系統(tǒng)級(jí)，只是存在第三方App上，所以容易修復(fù)，對(duì)一般用戶來說，別亂蹭網(wǎng)，及時(shí)更新自己手機(jī)中的App就好。