Более 15 000 приложений для iOS содержат программные ошибки, которые могут сделать iPhone уязвимыми для атак.

«ZipperDown — очень распространённая программная ошибка, которая может привести к серьёзным последствиям. Согласно исследованию, 15 978 из 168 951 приложений iOS в настоящее время уязвимы к этой уязвимости, некоторые из них были загружены более 100 миллионов раз. Для осуществления атаки хакеры контролируют сеть Wi-Fi, чтобы воспользоваться уязвимостью и запустить вредоносный код», — сказал Пангу.

В качестве демонстрации компания Pangu опубликовала видео, на котором пользователь загружает и использует приложение Weibo в незащищённой сети Wi-Fi. Затем хакер воспользовался уязвимостью ZipperDown в Weibo и удалённо выполнил код, чтобы получить контроль над приложением.

Пангу добавил, что ошибка связана со сторонней утилитой ZipArchive, которая позволяет приложениям iOS читать и записывать сжатые файлы, и отметил, что инструменты «песочницы» как на iOS, так и на Android могут помочь смягчить ошибку ZipperDown.

Кроме того, Pangu провела масштабное тестирование на платформе аналитики приложений Janus и обнаружила, что около 10% приложений iOS подвержены аналогичным проблемам, включая Instagram, Amazon, Twitter и Dropbox. При этом Weibo, NetEase Music, QQ Music и Kwai определённо были уязвимы.

Команда также подтвердила, что многие другие популярные приложения для Android также уязвимы, и вскоре опубликует более подробную информацию о затронутых приложениях.

До проведения исследования Уилл Страфах, основатель компании Verify.ly, занимающейся безопасностью приложений, призвал пользователей iPhone обновить свои приложения, чтобы избежать нежелательных проблем, заявив, что уязвимость можно легко устранить с помощью обновлений.