ZipperDown漏洞来袭 爱加密推出安全解决方案

近日盘古实验室在针对不同客户的iOS应用安全审计过程中，发现了一类通用的安全漏洞-ZipperDown安全漏洞，攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。由于该漏洞广泛应用于IOS平台，导致大量APP受影响，构成较为严重的攻击威胁。

此漏洞目前主要发现在iOS应用上，截止到今日统计，受影响iOS APP已经过1.5万，影响范围十分广泛，并且安卓平台上存在大量应用受到同类漏洞的影响。针对该漏洞，爱加密第一时间分析并推出检测方案，检测App是否存在此漏洞，同时提出解决方案。

针对此漏洞的攻击条件：

1、App用了ZipArchive

2、App下发的某个zip包传输过程没加密，zip包也没加密

3、App使用了JSPatch或其他执行引擎，且本地脚本没有加密，只要把脚本放指定目录即可执行，且未对本地脚本进行合法性验证

4、用户连接不可靠WIFI热点进行网络通信

针对此漏洞的规避方法；开发者自身规避方法：

1、对SSZipArchive库进行修复，在unzipFileAtPath解压函数中，对可能造成目录穿越的”../”字符串时进行拦截。

2、客户端与服务端通信时，使用HTTPS安全传输协议，确保APP与服务端交互中的数据有经过HTTPS协议加密；

3、对APP下载的zip包文件进行传输过程中的加密保护，并在客户端对此zip包进行完整性、合法性验证，防止被替换；

4、对APP中本地脚本进行加密，并对本地脚本进行完整性、合法性验证，防止被替换；

扩展：ZipperDown并不是新漏洞，而是“非常经典的安全问题”，其影响主要取决于具体App和它所获取的权限，并且也同样在Android平台发现了类似漏洞“文件目录遍历漏洞”

关于文件目录遍历漏洞，漏洞产生前提：

Android应用中使用了解压缩文件，比如动态加载机制，下载apk/zip，然后本地做解压工作；

漏洞出现原因：

因ZipOutputStream类对文件进行压缩时，未对文件名做任何限制，如果下载的zip包被恶意拦截，进行修改，即可将文件名命名为“../../../../data/data/xxx.xxx.x/xxx”,因为Android是基于Linux系统的，在Linux系统中../这个符号代表是回到上层目录，那么这里可以多弄几个这个符号，这样就会回到Android系统的根目录，然后在进入当前应用的沙盒目录下，写一个文件。

存在的风险：

攻击者通过该漏洞可以破坏应用数据、获取用户隐私数据甚至可获取任意代码执行的能力。

规避措施；开发者自身规避方法：

1、对ZipEntry进行解压时，过滤对具有特殊字符的文件进行解压，或者解压到本地文件名称不能包含特殊字符；

2、客户端与服务端通信时，使用HTTPS安全传输协议，确保APP与服务端交互中的数据有经过HTTPS协议加密；

3、对APP下载的zip包文件进行传输过程中的加密保护，并在客户端对此zip包进行完整性、合法性验证，防止被替换；

爱加密安全解决方案：

1、爱加密提供此漏洞评测方案，检测App是否存在此漏洞；

2、使用爱加密通讯协议加密SDK，对通信过程中的数据进行加密，并保证数据不被篡改；

用户安全解决方案：

不要使用未经认证的WIFI热点，并及时更新手机中的App；

查看应用是否受此漏洞影响，点击此地址进行查询：https://zipperdown.org/