日前,一款名為ZipperDown的漏洞被披露,ZipperDown具備通用型特性,10%的iOS應用和大量安卓平臺應用均受到此漏洞影響,威脅等級極高,同時該漏洞形態靈活、變種類型多樣。針對ZipperDown漏洞,360加固保首家推出通信協議加密SDK,可有效防范利用ZipperDown漏洞對APP進行攻擊的行為,為APP開發者提供完美解決方案。同時,360加固保還為移動開發者提供全方位、立體式的移動安全堡壘,大大降低漏洞被利用的可能,進一步保護廣大用戶個人數據或信息免遭竊取。
據安全專家稱,ZipperDown漏洞的攻擊場景與受影響應用業務場景相關,其攻擊場景包括:在不安全網絡環境下使用受影響應用、在攻擊者誘導下使用某些應用功能等。
ZipperDown漏洞危害則是同受影響應用功能及權限密切相關。比如,在某些應用中,攻擊者僅能利用ZipperDown漏洞破壞應用數據;但在另外一些應用中,攻擊者也可能獲取任意代碼執行能力。除此之外,手機系統的沙箱等也會限制ZipperDown漏洞的攻擊范圍。
另外,安全專家還提到,ZipperDown漏洞波及范圍極大。在對收集到的168,951個iOS應用進行查詢發現,15,979個應用可能受此漏洞的影響,占比高達10%。同時在Android平臺同樣發現了類似漏洞,并且已在大量流行應用中確認。
對此,360安全專家建議廣大APP用戶,應時刻注意不要連接不受信任的公共網絡,如咖啡店等公共場所提供的網絡。對于APP開發者來說,安全專家建議:APP與服務端的任何數據傳輸都應該使用加密通道;APP從服務端獲取的任何數據,則要做完整性校驗真實性校驗;處理存儲在本地的補丁文件應當使用非對稱加密的方式;zip解壓文件時需過濾文件中的軟鏈接以及文件命中包含".."的文件;對于自己研發的APP還可聯系360加固保(360jiagubao@360.cn)協助分析處理。
360加固保擁有全部知識產權的通信協議加密SDK,通過對開發者預提交的https通信證書,進行校驗和鎖定,屏蔽各種第三方中間人注入工具(例如fiddler、burp等),防止https通信數據被攔截、竊聽和修改,極大的保護了https通信中的協議安全,降低APP被ZipperDown等漏洞攻擊的風險。
360加固保作為國內最大的移動應用安全服務提供商,一直致力于為開發者提供“安全、免費”的移動應用加固服務,目前,360加固保所加固的APP應用已服務于超過5億用戶。
