freebuf近日,一款名为“ZipperDown漏洞”在iOS平台被披露,据安全专家称,大约10%的iOS应用均会受到此漏洞影响。对于该漏洞,爱加密自动检测平台可为用户提供针对性检测服务,通过静态、动态检测来及时圈定检测重点,综合运用移动应用渗透技术,为移动应用提供更全面的漏洞检测与分析服务。
由于该漏洞并不是新漏洞,其影响主要取决于具体APP和它所获取的权限,所以在Android平台上也发现了类似漏洞。攻击者利用该漏洞可获取到用户隐私(包括手机应用数据、照片、文档等敏感信息)与任意代码执行的能力,让用户在不知情的情况下完全控制手机内的APP。
由于该漏洞广泛应用于iOS平台,并具备通用型特性,导致大量APP受影响,其中不乏快手、网易云音乐、QQ音乐等热门软件。值得一提的是,在“ZipperDown漏洞”爆发时,爱加密第一时间针对此漏洞推出安全防护建议,并率先进行漏洞分析与推出漏洞解决方案;同时在两天内,针对该漏洞的专项检测已经及时纳入爱加密APP自动检测平台,用户可以通过自动化检测平台对APP进行专项检测。
爱加密针对iOS平台与Android平台的不同特性推出安全解决方案
Android:使用爱加密通讯协议加密SDK,对通信过程中的数据进行加密,并保证数据不被篡改;建议与服务端数据交互时使用加密通道,并对传输数据进行完整性、真实性校验,防止Zip包拦截替换;程序中使用 ZipInputStream 类对 Zip压缩包进行解压操作时,在 ZipEntry.getName()获取的文件名后,添加过滤代码对文件名中可能包含的”../” 进行过滤判断。
iOS:使用爱加密通讯协议加密SDK,对通信过程中的数据进行加密,并保证数据不被篡改;Zip解压文件时过滤文件中的软链接以及文件名中包含../../的文件;建议与服务端数据交互时使用加密通道;建议使用非对称加密方式处理存储在本地的补丁文件;对服务端传输的数据进行完整性、真实性校验。
同时,爱加密也为开发者提供规避措施:对ZipEntry进行解压时,过滤对具有特殊字符的文件进行解压,或者解压到本地文件名称不能包含特殊字符;客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;对APP下载的Zip包文件进行传输过程中的加密保护,并在客户端对此Zip包进行完整性、合法性验证,防止被替换。对于普通用户,爱加密建议不要随意使用未经认证的WIFI热点,并及时更新手机中的APP。
转载请注明来自网盾网络安全培训,本文标题:《爱加密检测平台针对“ZipperDown漏洞”第一时间推出专项检测服务》
