欢迎来到新工网
帮助中心

新工网

热门搜索:

编程错误暴露了成千上万的iOS应用程序被劫持-新工网

  • 时间:2018-05-17 12:10 编辑: 来源: 阅读:1213
  • 扫一扫,手机访问
摘要:据我国的安全研究人员称,成千上万的iOS应用程序显然存在编程错误,可能会导致产品遭受劫持。 一群iPhone越狱专家盘古团队表示,他们在审核多款iOS应用时发现了这个问题。编程错误可以让黑客在与iPhone相同的Wi-Fi网

据我国的安全研究人员称,成千上万的iOS应用程序显然存在编程错误,可能会导致产品遭受劫持。

一群iPhone越狱专家盘古团队表示,他们在审核多款iOS应用时发现了这个问题。编程错误可以让黑客在与iPhone相同的Wi-Fi网络上覆盖数据并在受影响的应用程序中执行代码。

“令人惊讶的是,我们发现大约10%的iOS应用可能会受到相同或类似问题的影响,”该团队说。为了达到这个数字,越狱专家们抽取了169,000个iOS应用程序样本,发现有近16,000个有这个缺陷。

盘古创建了一个关于编程错误的网站,他们称之为“ZipperDown”。他们还上传了一个视频,展示了问题。其中,用户下载一个名为微博的中文微博服务,然后通过一个开放的Wi-Fi网络攻击微博,以在应用内获得远程代码执行。

为了防止不良行为者利用这个缺陷,盘古没有透露它的技术细节。尽管如此,一位名叫Will Strafach的iOS安全研究员获得了有关细节的信息,并告诉PCMag编程错误确实是合法的。

“这确实是一个真正的和有趣的发现,”Strafach在Twitter的直接消息中说。“我认为这里用户的主要行动项目是在这几个星期内关注应用程序更新,并努力在应用程序更新可用时尽快更新。”

到目前为止,苹果没有评论这个问题,目前还不清楚盘古是否向公司或任何应用开发商报告了编程错误。苹果在其App Store上有超过200万个应用程序。

“ZipperDown是一种新型的漏洞吗?不可以.ZuperDown是一种非常典型的编程错误,我们并不认为有那么多的iOS应用程序出现这个问题。”该团队的网站说。

虽然盘古是在隐瞒有关这个问题的技术细节,但中国的其他研究人员已经发布了更多关于ZipperDown的细节。根据这些帖子,错误涉及称为ZipArchive的第三方实用程序,它允许iOS应用程序读取和写入Zip文件。实施中的错误可能会让攻击者利用该实用程序运行恶意计算机代码。这样做似乎需要黑客控制Wi-Fi网络,以便他们可以劫持流量和欺骗应用服务。

有关

iOS Messaging Bug可以冻结你的iPhoneiOS Messaging Bug可以冻结你的iPhone

为了帮助应用程序开发者修补这个漏洞,盘古团队上传了一个所有受到影响的iOS应用程序列表。包括Instagram,潘多拉,Dropbox和亚马逊,但专家指出它可能在列表中的任何应用程序可能被错误标记,因此他们推荐应用程序开发人员手动检查。

盘古团队表示,亲自验证了包括微博,社交网络服务Momo和QQ音乐在内的几款流行中文应用都存在编程错误。

“我们已经证实,许多流行的Android应用程序都有类似的问题,我们将在未来发布更多针对Android应用程序的结果。”该团队补充说。

本文由皓玛科技:www.haomae.com;新工网:www.xincnn.com联合编译发布


  • 全部评论(0)
网站首页??|?? 关于我们??|?? 广告合作??|?? 联系我们??|?? 隐私条款??|?? 免责声明
CopyRight 2014-2024 新工网????浙ICP备16016550号????
联系客服
平台客服 平台小二 招商入驻 联系客服
0571-28284233
手机版

扫一扫进手机版
返回顶部