Plus de 15 000 applications iOS présentent des failles de programmation qui peuvent rendre les iPhones vulnérables aux attaques

« ZipperDown est un bug de programmation très courant qui peut avoir de graves conséquences. Selon l'enquête, 15 978 applications iOS sur 168 951 sont actuellement vulnérables à ce bug, dont certaines ont été téléchargées plus de 100 millions de fois. Pour mener l'attaque, les pirates informatiques contrôlent le réseau Wi-Fi afin d'exploiter la vulnérabilité et d'exécuter du code malveillant », a déclaré Pangu.

Pour démontrer son efficacité, Pangu a publié une vidéo montrant un utilisateur téléchargeant et utilisant le service Weibo dans un environnement Wi-Fi non sécurisé. Un pirate informatique a ensuite exploité la faille ZipperDown sur Weibo et exécuté du code à distance pour prendre le contrôle de l'application.

Pangu a ajouté que le bug est lié à un utilitaire tiers appelé ZipArchive qui permet aux applications iOS de lire et d'écrire des fichiers compressés, et a noté que les outils de sandboxing sur iOS et Android peuvent aider à atténuer le bug ZipperDown.

Par ailleurs, Pangu a également mené un test à grande échelle sur la plateforme d'analyse d'applications Janus et a constaté qu'environ 10 % des applications iOS étaient affectées par des problèmes similaires, notamment Instagram, Amazon, Twitter et Dropbox. Parallèlement, Weibo, NetEase Music, QQ Music et Kwai étaient clairement vulnérables.

L'équipe a également confirmé que de nombreuses autres applications Android populaires sont également vulnérables et publiera bientôt plus d'informations sur les applications concernées.

Avant l'étude, Will Strafach, fondateur de la société de sécurité des applications Verify.ly, a encouragé les utilisateurs d'iPhone à mettre à jour leurs applications pour éviter les problèmes indésirables, affirmant que la vulnérabilité pourrait être facilement corrigée avec des mises à jour.