Более 15 000 приложений для iOS содержат программные ошибки, которые могут сделать iPhone уязвимыми для атак.
Уязвимость ZipperDown, обнаруженная китайскими экспертами по джейлбрейку iPhone Pangu, которая может сделать уязвимыми тысячи iPhone, была обнаружена в более чем 15 000 приложений iOS.
 |
«ZipperDown — очень распространённая ошибка программирования, которая может привести к серьёзным последствиям. Согласно опросу, в настоящее время 15 978 из 168 951 приложений iOS подвержены этой уязвимости, некоторые из которых были загружены более 100 миллионов раз. Для осуществления атаки хакеры контролируют сеть Wi-Fi, чтобы воспользоваться уязвимостью и запустить вредоносный код», — сказал Пангу.
В качестве демонстрации компания Pangu опубликовала видео, на котором пользователь загружает и использует приложение Weibo в незащищённой сети Wi-Fi. Затем хакер воспользовался уязвимостью ZipperDown в Weibo и удалённо выполнил код, чтобы получить контроль над приложением.
Пангу добавил, что ошибка связана со сторонней утилитой ZipArchive, которая позволяет приложениям iOS читать и записывать сжатые файлы, и отметил, что инструменты «песочницы» как на iOS, так и на Android могут помочь смягчить ошибку ZipperDown.
Кроме того, Pangu провела масштабное тестирование на платформе аналитики приложений Janus и обнаружила, что около 10% приложений iOS подвержены аналогичным проблемам, включая Instagram, Amazon, Twitter и Dropbox. При этом Weibo, NetEase Music, QQ Music и Kwai определённо были уязвимы.
Команда также подтвердила, что многие другие популярные приложения Android уязвимы, и вскоре опубликует более подробную информацию о затронутых приложениях.
До проведения исследования Уилл Страфах, основатель компании Verify.ly, занимающейся безопасностью приложений, призвал пользователей iPhone обновить свои приложения, чтобы избежать нежелательных проблем, заявив, что уязвимость можно легко устранить с помощью обновлений.
