zipperdown漏洞被爆出,企业移动办公安全刻不容缓
- 作者: 指掌易科技
- 分类:新闻
昨日,国内知名安全团队盘古实验室爆出苹果ios系统的app平台上,存在一个名为zipperdown的程序漏洞,这并非是ios系统本身的问题,而是来自第三方app。在某些特定场景下(如不安全的网络环境),攻击者能够利用zipperdown漏洞窃取/破坏应用数据,或者获取应用任意代码执行能力。
指掌易首席架构师b.o.指出,这是由于某些应用在和服务器进行网络通信时,没有走加密通道,导致通信数据被wi-fi劫持。操作过程为:当该应用在从服务器下载zip文件的时候,被wi-fi设备劫持,通过替换原zip文件,或者修改zip文件结构,导致安全隐患。
图片来自网络
他还进一步解释道:使用第三方zip库在解压zip文件过程中,没有考虑文件名中带有”../../”这样的情况,从而产生了目录穿越漏洞。因此,如果一个ios应用下载了恶意的zip文件,并且使用ziparchive库解压,利用漏洞可以做到app container目录下的任意文件覆盖:如果覆盖了应用重要的文件会造成应用崩溃(dos),如果覆盖了app的hotpatch文件则会造成代码执行。
这个漏洞不仅ios平台存在,android平台上也有,只是ios的沙箱机制可以对攻击范围有一定限制。
由于越来越多的员工在使用手机办公,手机上存在着大量的企业机密,如果企业移动应用存在该漏洞,移动端的数据就会产生被窃取、破坏甚至被远程删除的可能性。
指掌易建议:
应用与服务端的任何数据传输都应该使用加密通道
应用从服务端获取的任何数据,则要做完整性校验真实性校验
处理存储在本地的补丁文件应当使用非对称加密的方式
zip解压文件时需过滤文件中的软链接以及文件命中包含".."的文件
为了保障移动办公业务通信安全,需要通过加密传输隧道实现业务数据传输加密。指掌易移动应用安全网关,可在应用级启用安全加密隧道,仅允许指定的工作应用连接到企业内网。
将指掌易移动应用安全网关与指掌易安全工作空间管理平台结合起来,可以在后台在应用、用户、设备等多个维度上实现准入控制。
注:文章头图来自新浪科技