经典ZipperDown漏洞 通吃苹果所有应用？！

近日，一个名为ZipperDown的苹果iOS平台App安全漏洞被爆出，攻击者利用该漏洞能够窃取用户App中的敏感信息。据初步统计，受影响App已经过万。

ZipperDown漏洞解析

从当前的公开信息能够发现，该漏洞主要存在于iOS应用，属于经典安全问题，故其影响范围十分广泛，且Android平台上也有类似漏洞存在。在某些特定场景下（如不安全的网络环境），攻击者能够利用ZipperDown漏洞窃取/破坏应用数据，或者获取应用任意代码执行能力。不过，iOS系统沙箱会对ZipperDown漏洞的攻击范围有所限制。

ZipperDown漏洞规避方法

出于保护用户的考虑，漏洞细节尚无法公布，但可以从攻击角度进行漏洞危害规避。

1、App开发者临时规避方案：

（1）使用HTTPS安全传输协议，并对服务器证书进行双向安全校验，确保App与服务端的任何数据传输都在加密通道HTTPS保护之内。

（2）对App下载的zip包文件做哈希校验，并对哈希值做非对称加密。

（3）解压zip包文件时，对文件进行安全检测，确保文件不是软链接，同时文件名中不能包含“../”。

2、梆梆安全解决方案：

（1）使用梆梆安全测评系统，检测App是否存在目录穿越漏洞(Directory traversal)。

（2）使用梆梆安全密钥白盒系统，对相关密钥做白盒加密保护。

3、普通用户规避方法：避免接入未知的Wi-Fi网络环境，建议使用4G网络。避免使用可疑的App。

Android平台相关漏洞检测方案

梆梆安全的移动应用测评云平台，为开发者提供了一种易用、高效、自动化的测评方式，可对应用面临的主流安全问题进行全面评估，准确定位安全问题的来源，并获取包含代码级修复示例的解决方案。

对于ZipperDown漏洞，测评平台可基于Android平台，针对其中较大的安全隐患进行深入的检测分析，包括通信数据传输安全和zip文件解压漏洞进行深入检测，以便提前做好安全防御工作。

在移动应用(App)已经成为人们工作、生活主要工具之一的今天，其安全漏洞威胁也在愈加的防不胜防。主动进行安全检测，提前实施防御，才是降低App遭遇ZipperDown等移动安全漏洞攻击风险的有效方法。