Уязвимость ZipperDown может затрагивать 10% всех iOS-приложений
Команда экспертов из компании Pangu Lab, специализирующейся на взломе iOS, обнаружила уязвимость, которая, по их мнению, может затрагивать около 10% всех приложений для iOS.
Исследователи описали проблему, получившую название ZipperDown, как «распространенную ошибку в программировании», приводящую к серьезным последствиям, таким как возможность перезаписи данных и даже выполнения кода в контексте затронутых приложений».
Специалисты создали инструмент для автоматического сканирования iOS-приложений на наличие ZipperDown. По итогам сканирования, уязвимость была обнаружена в 15 978 программах из 168 951 проверенного приложения.
Список уязвимых программ включает в себя несколько популярных приложений с аудиторией, превышающей более 100 млн пользователей, таких как Weibo, MOMO, NetEase Music, QQ Music и Kwai.
В рамках эксперимента специалисты проэксплуатировали ZipperDown в приложении Weibo и смогли выполнить произвольный код.
В связи с большим количеством затронутых приложений исследователи не смогли связаться с разработчиками каждой программы и уведомить их о проблеме. Компания призвала авторов уязвимого ПО связаться с исследователями для получения информации о ZipperDown, предоставив таким образом каждому разработчику возможность протестировать и исправить свой продукт.
Помимо этого, эксперты заявили, что подобные проблемы присутствуют и в Android-приложениях. Более подробная информация будет опубликована в ближайшем будущем.
Несмотря на большое число затронутых приложений, проэксплуатировать ZipperDown не так просто, поскольку злоумышленник должен подключиться непосредственно к сети для перехвата или подмены трафика на устройстве.
Видео с демонстрацией атаки:
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш