セキュリティの専門家は、Appleのモバイルソフトウェアインフラストラクチャ用に構築されたアプリケーションに影響を与える危険なバグを発見しました. 公開された情報によると、ZipperDownの脆弱性は周囲に影響を及ぼします 10% 公開されているすべてのiOSアプリの. このバグはAndroidデバイスでも機能する可能性があります.
ZipperDownの脆弱性がiOSアプリを攻撃
ZipperDownの発見は、問題の詳細を提供する専門サイトを作成したPanguLabによって発表されました。. クライアントのコード分析により、非常に一般的なプログラミングエラーが明らかになり、さらに検討すると危険な結果につながりました。. その広がりについてさらに詳しく説明するために、チームはiOSアプリの問題を検出できる特別な署名を考案しました. 専門のアプリケーション分析プラットフォームでそれを使用してスキャンが実行され、結果は次のことを示しています。 その周り 10% すべてのiOSアプリの影響を受ける可能性があります .
プラットフォームは与えることができません 100% ただし、これらの数値は、セキュリティコミュニティ全体に警告を発するのに十分な信頼性があると見なされています。. 影響を受けるプログラムの中には、 100 百万人のアクティブユーザー: Weibo, MOMO< NetEas Music, QQ Muiic and Kwai. Exact details about the way ZipperDown operates are not disclosed at this moment in order to protect end-users. The security experts will work with all vendors that may have concerns about vulnerabilities in their products and services.
ZipperDownの脆弱性に関する詳細
検出されたZipperdownの脆弱性は一般的なプログラミング言語エラーとして説明されているため、開発者は Androidアプリと互換性のある検出ツール. 現時点では、特定の脆弱なアプリに関する情報はありません。. チームは、一部のソフトウェアが影響を受ける可能性があることを確認しましたが、これに関する詳細はリリースされる予定です.
脆弱なiOSおよびAndroidアプリは、次のようないくつかの危険な結果につながる可能性があります データの変更 そして上書きさえ, としても 任意のコードの実行. このような場合、ZipperDownの脆弱性は、AndroidとiOSの両方のオペレーティングシステムで使用されるサンドボックス環境によって制限されることが確認されています。.
適切なセキュリティ評価を妨げるいくつかの問題は、生成された署名が多くの偽陰性を示す可能性があるという事実です。. これが、徹底的な手動コード調査が推奨される理由です。. ZipperDownの脆弱性はさまざまな方法で悪用される可能性がありますが、最も一般的なのは トラフィックハイジャック と なりすまし.
バグが発見されたばかりであるため、これまでのところ報告されたインシデントはありません。. これを考えると、実際の攻撃は複雑なシナリオを使用して引き起こされる可能性が非常に高いです. ZipperDownのエクスプロイトは、おそらく他の悪意のあるコンポーネントを使用して、いくつかの層の動作パターンで実行されます。.
ベンダーは、セキュリティインシデントを防ぐために、ZipperDownの脆弱性をやがて緩和することを期待しています。.