Более 15 000 приложений для iOS содержат программные ошибки, которые могут сделать iPhone уязвимыми для атак.
Китайские специалисты по джейлбрейку iPhone Pangu обнаружили уязвимость ZipperDown, которая может сделать уязвимыми тысячи iPhone, в более чем 15 000 приложений iOS.
 |
«ZipperDown — очень распространённая программная ошибка, которая может привести к серьёзным последствиям. Согласно исследованию, 15 978 из 168 951 приложений iOS в настоящее время уязвимы к этой уязвимости, некоторые из них были загружены более 100 миллионов раз. Для осуществления атаки хакеры контролируют сеть Wi-Fi, чтобы воспользоваться уязвимостью и запустить вредоносный код», — сказал Пангу.
В качестве демонстрации компания Pangu опубликовала видео, на котором пользователь загружает и использует приложение Weibo в незащищённой сети Wi-Fi. Затем хакер воспользовался уязвимостью ZipperDown в Weibo и удалённо выполнил код, чтобы получить контроль над приложением.
Пангу добавил, что ошибка связана со сторонней утилитой ZipArchive, которая позволяет приложениям iOS читать и записывать сжатые файлы, и отметил, что инструменты «песочницы» как на iOS, так и на Android могут помочь смягчить ошибку ZipperDown.
Кроме того, Pangu провела масштабное тестирование на платформе аналитики приложений Janus и обнаружила, что около 10% приложений iOS подвержены аналогичным проблемам, включая Instagram, Amazon, Twitter и Dropbox. При этом Weibo, NetEase Music, QQ Music и Kwai определённо были уязвимы.
Команда также подтвердила, что многие другие популярные приложения для Android также уязвимы, и вскоре опубликует более подробную информацию о затронутых приложениях.
До проведения исследования Уилл Страфах, основатель компании Verify.ly, занимающейся безопасностью приложений, призвал пользователей iPhone обновить свои приложения, чтобы избежать нежелательных проблем, заявив, что уязвимость можно легко устранить с помощью обновлений.