【IT168 评论】智能手机作为大家日常生活中越来越不可分割的一部分,往往储存有用户的大量个人信息,一旦手机出现漏洞被黑客利用,那对于受害用户来讲将造成相当大的影响。
有些用户可能正是考虑到了安全问题,所以选择了较为安全的搭载iOS系统的苹果手机,大家普遍认为,和安卓系统相比,iOS系统更为安全,事实真的如此吗?其实无论是怎样的系统,都有着各式各样的漏洞,安全也只是相对的。这不,就在最近苹果手机就有重大安全漏洞被爆出了。
最近,苹果iOS平台App的一个名为ZipperDown的安全漏洞被爆出,通过该漏洞攻击者能够对用户App中的敏感信息进行窃取。而截止目前,受影响的App已经过万。其中不乏网易云音乐、QQ音乐、快手、陌陌等较为广泛使用的App。
那ZipperDown究竟是一个怎样的漏洞?不少安全机构都给出了相关的解析,从目前公开的信息发现,该漏洞主要存在于iOS应用,属于经典安全问题,故其影响范围十分广泛,且Android平台上也有类似漏洞存在。在某些特定场景下(如不安全的网络环境),攻击者能够利用ZipperDown漏洞窃取/破坏应用数据,或者获取应用任意代码执行能力。不过,iOS系统沙箱会对ZipperDown漏洞的攻击范围有所限制。
为了保证用户安全,相关安全机构暂不将漏洞细节对外公开。那对于用户来讲,又有哪些切实可行的规避方式呢?
对于App开发者来讲,可以采取以下临时规避方案:
(1)使用HTTPS安全传输协议,并对服务器证书进行双向安全校验,确保App与服务端的任何数据传输都在加密通道HTTPS保护之内。
(2)对App下载的zip包文件做哈希校验,并对哈希值做非对称加密。
(3)解压zip包文件时,对文件进行安全检测,确保文件不是软链接,同时文件名中不能包含“../”。
对于普通用户来讲,可以避免接入未知的Wi-Fi网络环境,建议使用4G网络。避免使用可疑的App。当然用户可以对APP进行相关检验并避免在不安全的网络环境下使用该APP,疑似受影响的App可在https://zipperdown.org查询。