近日盤古實驗室在針對不同客戶的iOS應(yīng)用安全審計過程中，發(fā)現(xiàn)了一類通用的安全漏洞-ZipperDown安全漏洞，攻擊者通過該漏洞可以破壞應(yīng)用數(shù)據(jù)、獲取用戶隱私數(shù)據(jù)甚至可獲取任意代碼執(zhí)行的能力。由于該漏洞廣泛應(yīng)用于IOS平臺，導(dǎo)致大量APP受影響，構(gòu)成較為嚴重的攻擊威脅。

此漏洞目前主要發(fā)現(xiàn)在iOS應(yīng)用上，截止到今日統(tǒng)計，受影響iOS APP已經(jīng)過1.5萬，影響范圍十分廣泛，并且安卓平臺上存在大量應(yīng)用受到同類漏洞的影響。針對該漏洞，愛加密第一時間分析并推出檢測方案，檢測App是否存在此漏洞，同時提出解決方案。

針對此漏洞的攻擊條件：

1、App用了ZipArchive

2、App下發(fā)的某個zip包傳輸過程沒加密，zip包也沒加密

3、App使用了JSPatch或其他執(zhí)行引擎，且本地腳本沒有加密，只要把腳本放指定目錄即可執(zhí)行，且未對本地腳本進行合法性驗證

4、用戶連接不可靠WIFI熱點進行網(wǎng)絡(luò)通信

針對此漏洞的規(guī)避方法;開發(fā)者自身規(guī)避方法：

1、對SSZipArchive庫進行修復(fù)，在unzipFileAtPath解壓函數(shù)中，對可能造成目錄穿越的”../”字符串時進行攔截。

2、客戶端與服務(wù)端通信時，使用HTTPS安全傳輸協(xié)議，確保APP與服務(wù)端交互中的數(shù)據(jù)有經(jīng)過HTTPS協(xié)議加密;

3、對APP下載的zip包文件進行傳輸過程中的加密保護，并在客戶端對此zip包進行完整性、合法性驗證，防止被替換;

4、對APP中本地腳本進行加密，并對本地腳本進行完整性、合法性驗證，防止被替換;

擴展：ZipperDown并不是新漏洞，而是“非常經(jīng)典的安全問題”，其影響主要取決于具體App和它所獲取的權(quán)限，并且也同樣在Android平臺發(fā)現(xiàn)了類似漏洞“文件目錄遍歷漏洞”

關(guān)于文件目錄遍歷漏洞，漏洞產(chǎn)生前提：

Android應(yīng)用中使用了解壓縮文件，比如動態(tài)加載機制，下載apk/zip，然后本地做解壓工作;

漏洞出現(xiàn)原因：

因ZipOutputStream類對文件進行壓縮時，未對文件名做任何限制，如果下載的zip包被惡意攔截，進行修改，即可將文件名命名為“../../../../data/data/xxx.xxx.x/xxx”,因為Android是基于Linux系統(tǒng)的，在Linux系統(tǒng)中../這個符號代表是回到上層目錄，那么這里可以多弄幾個這個符號，這樣就會回到Android系統(tǒng)的根目錄，然后在進入當前應(yīng)用的沙盒目錄下，寫一個文件。

存在的風(fēng)險：

攻擊者通過該漏洞可以破壞應(yīng)用數(shù)據(jù)、獲取用戶隱私數(shù)據(jù)甚至可獲取任意代碼執(zhí)行的能力。

規(guī)避措施;開發(fā)者自身規(guī)避方法：

1、對ZipEntry進行解壓時，過濾對具有特殊字符的文件進行解壓，或者解壓到本地文件名稱不能包含特殊字符;

2、客戶端與服務(wù)端通信時，使用HTTPS安全傳輸協(xié)議，確保APP與服務(wù)端交互中的數(shù)據(jù)有經(jīng)過HTTPS協(xié)議加密;

3、對APP下載的zip包文件進行傳輸過程中的加密保護，并在客戶端對此zip包進行完整性、合法性驗證，防止被替換;

愛加密安全解決方案：

1、愛加密提供此漏洞評測方案，檢測App是否存在此漏洞;

2、使用愛加密通訊協(xié)議加密SDK，對通信過程中的數(shù)據(jù)進行加密，并保證數(shù)據(jù)不被篡改;

用戶安全解決方案：

不要使用未經(jīng)認證的WIFI熱點，并及時更新手機中的App

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。