近日,一个名为ZipperDown的苹果iOS平台App安全漏洞被爆出,攻击者利用该漏洞能够窃取用户App中的敏感信息。据初步统计,受影响App已经过万。
ZipperDown漏洞解析
从当前的公开信息能够发现,该漏洞主要存在于iOS应用,属于经典安全问题,故其影响范围十分广泛,且Android平台上也有类似漏洞存在。在某些特定场景下(如不安全的网络环境),攻击者能够利用ZipperDown漏洞窃取/破坏应用数据,或者获取应用任意代码执行能力。不过,iOS系统沙箱会对ZipperDown漏洞的攻击范围有所限制。
ZipperDown漏洞规避方法
出于保护用户的考虑,漏洞细节尚无法公布,但可以从攻击角度进行漏洞危害规避。
1、App开发者临时规避方案:
(1)使用HTTPS安全传输协议,并对服务器证书进行双向安全校验,确保App与服务端的任何数据传输都在加密通道HTTPS保护之内。
(2)对App下载的zip包文件做哈希校验,并对哈希值做非对称加密。
(3)解压zip包文件时,对文件进行安全检测,确保文件不是软链接,同时文件名中不能包含“../”。
2、梆梆安全解决方案:
(1)使用梆梆安全测评系统,检测App是否存在目录穿越漏洞(Directory traversal)。
(2)使用梆梆安全密钥白盒系统,对相关密钥做白盒加密保护。
3、普通用户规避方法:避免接入未知的Wi-Fi网络环境,建议使用4G网络。避免使用可疑的App。
Android平台相关漏洞检测方案
梆梆安全的移动应用测评云平台,为开发者提供了一种易用、高效、自动化的测评方式,可对应用面临的主流安全问题进行全面评估,准确定位安全问题的来源,并获取包含代码级修复示例的解决方案。
对于ZipperDown漏洞,测评平台可基于Android平台,针对其中较大的安全隐患进行深入的检测分析,包括通信数据传输安全和zip文件解压漏洞进行深入检测,以便提前做好安全防御工作。
在移动应用(App)已经成为人们工作、生活主要工具之一的今天,其安全漏洞威胁也在愈加的防不胜防。主动进行安全检测,提前实施防御,才是降低App遭遇ZipperDown等移动安全漏洞攻击风险的有效方法。
好文章,需要你的鼓励
新加坡国立大学研究人员开发出名为AiSee的可穿戴辅助设备,利用Meta的Llama模型帮助视障人士"看见"周围世界。该设备采用耳机形态,配备摄像头作为AI伴侣处理视觉信息。通过集成大语言模型,设备从简单物体识别升级为对话助手,用户可进行追问。设备运行代理AI框架,使用量化技术将Llama模型压缩至10-30亿参数在安卓设备上高效运行,支持离线处理敏感文档,保护用户隐私。
阿里巴巴联合浙江大学开发的OmniThink框架让AI学会像人类一样慢思考写作。通过信息树和概念池的双重架构,系统能够动态检索信息、持续反思,突破了传统AI写作内容浅薄重复的局限。实验显示该方法在文章质量各维度均显著超越现有最强基线,知识密度提升明显,为长文本生成研究开辟了新方向。
OpenAI推出新AI模型GPT-5-Codex,能够在无用户协助下完成数小时的编程任务。该模型是GPT-5的改进版本,使用额外编码数据训练。测试显示,GPT-5-Codex可独立工作超过7小时,能自动发现并修复编码错误。在重构基准测试中得分51.3%,比GPT高出17%以上。模型可根据任务难度调整处理时间,简单请求处理速度显著提升。目前已在ChatGPT付费计划中提供。
腾讯混元3D 2.0是一个革命性的3D生成系统,能够从单张图片生成高质量的带纹理3D模型。该系统包含形状生成模块Hunyuan3D-DiT和纹理合成模块Hunyuan3D-Paint,采用创新的重要性采样和多视角一致性技术,在多项评估指标上超越现有技术,并提供用户友好的制作平台。作为开源项目,它将大大降低3D内容创作门槛,推动3D技术的普及应用。