盘古团队发现大量iOS/Android应用存在通用型安全漏洞

国内安全实验室盘古团队目前在对不同客户的iOS 应用程序进行安全审计时发现某个类型的通用型安全漏洞。

攻击者借助该漏洞可在应用程序中执行任意代码，经确认诸如微博、陌陌、网易云音乐等多款程序均受影响。

盘古团队在进行分析16.89 万个应用程序后发现高达1.6 万个受影响，受影响的应用程序占比已达10% 左右。

同时该漏洞不仅仅存在于iOS 流行的应用程序中，盘古团队在Android 平台应用程序里同样发现该安全问题。

ZipperDown安全漏洞：

首先需要说明的是该漏洞并不是新漏洞，盘古团队称该漏洞是非常经典的安全问题但没想到众多应用受影响。

该漏洞危害与受影响的应用程序功能以及相关权限有关，在某些应用程序中攻击者仅可利用漏洞破坏数据等。

但是在某些应用程序攻击者亦可利用漏洞执行任意代码(比如微博)，此外 iOS 沙箱也会限制漏洞的攻击范围。

常见的攻击场景：不安全网络

该漏洞的攻击厂商与受影响应用程序的使用场景相关，常见的攻击场景包括在不安全网络下使用应用程序等。

同时攻击者亦可在用户连接不安全网络后诱导使用某些功能来触发漏洞，触发漏洞后即可远程执行任意代码。

盘古团队称最常见的破坏是攻击者利用漏洞破坏应用程序的数据，但某些情况下也可能执行威胁更高的操作。

腾讯和阿里巴巴等大量应用亦被影响：