近日盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞-ZipperDown安全漏洞,攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。由于该漏洞广泛应用于IOS平台,导致大量APP受影响,构成较为严重的攻击威胁。
此漏洞目前主要发现在iOS应用上,截止到今日统计,受影响iOS APP已经过1.5万,影响范围十分广泛,并且安卓平台上存在大量应用受到同类漏洞的影响。针对该漏洞,爱加密第一时间分析并推出检测方案,检测App是否存在此漏洞,同时提出解决方案。
针对此漏洞的攻击条件:
1、App用了ZipArchive
2、App下发的某个zip包传输过程没加密,zip包也没加密
3、App使用了JSPatch或其他执行引擎,且本地脚本没有加密,只要把脚本放指定目录即可执行,且未对本地脚本进行合法性验证
4、用户连接不可靠WIFI热点进行网络通信
针对此漏洞的规避方法;开发者自身规避方法:
1、对SSZipArchive库进行修复,在unzipFileAtPath解压函数中,对可能造成目录穿越的”../”字符串时进行拦截。
2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;
3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性、合法性验证,防止被替换;
4、对APP中本地脚本进行加密,并对本地脚本进行完整性、合法性验证,防止被替换;
扩展:ZipperDown并不是新漏洞,而是“非常经典的安全问题”,其影响主要取决于具体App和它所获取的权限,并且也同样在Android平台发现了类似漏洞“文件目录遍历漏洞”
关于文件目录遍历漏洞,漏洞产生前提:
Android应用中使用了解压缩文件,比如动态加载机制,下载apk/zip,然后本地做解压工作;
漏洞出现原因:
因ZipOutputStream类对文件进行压缩时,未对文件名做任何限制,如果下载的zip包被恶意拦截,进行修改,即可将文件名命名为“../../../../data/data/xxx.xxx.x/xxx”,因为Android是基于Linux系统的,在Linux系统中../这个符号代表是回到上层目录,那么这里可以多弄几个这个符号,这样就会回到Android系统的根目录,然后在进入当前应用的沙盒目录下,写一个文件。
存在的风险:
攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。
规避措施;开发者自身规避方法:
1、对ZipEntry进行解压时,过滤对具有特殊字符的文件进行解压,或者解压到本地文件名称不能包含特殊字符;
2、客户端与服务端通信时,使用HTTPS安全传输协议,确保APP与服务端交互中的数据有经过HTTPS协议加密;
3、对APP下载的zip包文件进行传输过程中的加密保护,并在客户端对此zip包进行完整性、合法性验证,防止被替换;
爱加密安全解决方案:
1、爱加密提供此漏洞评测方案,检测App是否存在此漏洞;
2、使用爱加密通讯协议加密SDK,对通信过程中的数据进行加密,并保证数据不被篡改;
用户安全解决方案:
不要使用未经认证的WIFI热点,并及时更新手机中的App
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
