中国安全团队发现ZipperDown漏洞 陌陌快手都中招

　　 5月17日上午消息，中国的安全团队盘古实验室称，他们发现了名为“ZipperDown”的App程序漏洞，存在于网易云音乐、QQ音乐、快手等流行App中。

　　这并非是iOS系统本身的问题，而是来自第三方App。它并不是新漏洞，而是一个”非常经典的安全问题“，其影响取决于具体App和它获得的权限。漏洞危害则是同受影响应用功能及权限密切相关。比如，在某些应用中，攻击者仅能利用ZipperDown漏洞破坏应用数据；但在另外一些应用中，攻击者也可能获取任意代码执行能力。

　　在不安全的网络环境下，黑客可以通过此漏洞获取应用中任意代码执行能力。

　　这个团队做了一个页面zipperdown.org，称他们分析了168951个iOS应用，发现15979个应用可能受此漏洞的影响，通过此比例推算，这个漏洞有可能影响了大约10%的App。受影响App列表中有提到了微博、陌陌、网易云音乐、QQ音乐、快手等流行App。

　　需要注意的是，这个漏洞并不只存在于iOS版App中，在Android中依旧有，只不过iOS的沙箱机制可以对攻击范围有一定限制。

　　盘古原本是研究iOS系统越狱（即民间开发者获取iOS系统高级权限的做法）的团队。除了他们，Will Strafach，另一个越狱研究大神也获得了关于ZipperDown的详细信息，并认为它更多体现的是“一种意想不到的方式”的攻击方式。

　　Strafach和盘古都不愿分享更多漏洞信息，他解释说，这些App漏洞公开的话可能会被黑客所滥用，他告诫说：“但如果你连接公共Wi-Fi网络，甚至是蹭别人的网，就有可能存在风险”。

　　不过也有好消息，因为这不是啥新漏洞，而是非系统级，只是存在第三方App上，所以容易修复，对一般用户来说，别乱蹭网，及时更新自己手机中的App就好。（晓光）