ZipperDown漏洞来袭 爱加密推出安全解决方案

  • 时间:
  • 浏览:4

近日盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞-ZipperDown安全漏洞,攻击者通过该漏洞也能 破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。导致 该漏洞广泛应用于IOS平台,导致 血块APP受影响,构成较为严重的攻击威胁。

此漏洞目前主要发现在iOS应用上,截止到今日统计,受影响iOS APP导致 过1.5万,影响范围十分广泛,因此 安卓平台上趋于稳定血块应用受到例如漏洞的影响。针对该漏洞,爱加密第一时间分析并推出检测方案,检测App有无趋于稳定此漏洞,一起提出补救方案。

针对此漏洞的攻击条件:

1、App用了ZipArchive

2、App派发的某个zip包传输过程没加密,zip包也没加密

3、App使用了JSPatch或因此 执行引擎,且本地脚本这麼加密,因此把脚本放指定目录即可执行,且未对本地脚本进行合法性验证

4、用户连接不可靠WIFI热点进行网络通信

针对此漏洞的规避最好的方式;开发者自身规避最好的方式:

1、对SSZipArchive库进行修复,在unzipFileAtPath解压函数中,对导致 造成目录穿越的”../”字符串时进行拦截。

2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;

3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性性、合法性验证,补救被替换;

4、对APP中本地脚本进行加密,并对本地脚本进行完整性性、合法性验证,补救被替换;

扩展:ZipperDown并有的是新漏洞,因此 “非常经典的安全疑问”,其影响主要取决于具体App和它所获取的权限,因此 也同样在Android平台发现了例如漏洞“文件目录遍历漏洞”

关于文件目录遍历漏洞,漏洞产生前提:

Android应用中使用了解压缩文件,比如动态加载机制,下载apk/zip,因此 本地做解压工作;

漏洞再次出显导致 :

因ZipOutputStream类对文件进行压缩时,未对文件名做任何限制,导致 下载的zip包被恶意拦截,进行修改,即可将文件名命名为“../../../../data/data/xxx.xxx.x/xxx”,导致 Android是基于Linux系统的,在Linux系统中../你这人 符号代表是回到上层目录,这麼这里也能 多弄有几个你这人 符号,原本就会回到Android系统的根目录,因此 在进入当前应用的沙盒目录下,写另一个文件。

趋于稳定的风险:

攻击者通过该漏洞也能 破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。

规避最好的方式;开发者自身规避最好的方式:

1、对ZipEntry进行解压时,过滤对具有特殊字符的文件进行解压,导致 解压到本地文件名称也能了含晒 特殊字符;

2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;

3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性性、合法性验证,补救被替换;

爱加密安全补救方案:

1、爱加密提供此漏洞评测方案,检测App有无趋于稳定此漏洞;

2、使用爱加密通讯协议加密SDK,对通信过程中的数据进行加密,并保证数据不被篡改;

用户安全补救方案:

不必说使用未经认证的WIFI热点,并及时更新手机中的App;

查看应用有无受此漏洞影响,点击此地址进行查询:https://zipperdown.org/