Các nhà nghiên cứu bảo mật từ Pangu Lab, một công ty nổi tiếng chuyên cung cấp các bản bẻ khóa iOS, cho biết hôm thứ Hai rằng họ đã tìm thấy một lỗ hổng mà họ tin rằng ảnh hưởng đến khoảng 10% tất cả các ứng dụng iOS.
Các nhà nghiên cứu đã mô tả vấn đề — mà họ đặt tên là ZipperDown — là “một lỗi lập trình phổ biến, dẫn đến hậu quả nghiêm trọng như dữ liệu bị ghi đè và thậm chí là thực thi mã trong bối cảnh các ứng dụng bị ảnh hưởng.”
15.978 trong số 168.951 ứng dụng iOS có nhiều khả năng bị ảnh hưởng nhất
Pangu Lab cho biết họ đã tạo ra một quy tắc quét tự động để tìm kiếm ZipperDown trong ứng dụng iOS. Các nhà nghiên cứu phát hiện ra rằng 15.978 trong tổng số 168.951 ứng dụng iOS mà họ đã quét dường như bị ảnh hưởng bởi lỗ hổng ZipperDown, mặc dù vậy, các ứng dụng cần được kiểm tra thủ công để xác nhận rằng chúng bị ảnh hưởng.
Chúng tôi đã xác nhận một số ứng dụng iOS với hơn 100 triệu người dùng dễ bị # ZipperDown # và phát hiện thấy hơn 10k ứng dụng iOS có thể gặp vấn đề giống nhau hoặc tương tự. Kiểm tra http://zipperdown.org và liên hệ với chúng tôi để biết chi tiết và khắc phục nếu ứng dụng của bạn có trong danh sách.
Danh sách các ứng dụng dễ bị tấn công cũng bao gồm một số ứng dụng iOS nổi tiếng có hơn 100 triệu người dùng, chẳng hạn như Weibo, MOMO, NetEase Music, QQ Music và Kwai.
Các nhà nghiên cứu cũng đã xuất bản một video demo khai thác ZipperDown trong ứng dụng Weibo để đạt được quyền thực thi mã.
Devs của các ứng dụng dễ bị tấn công phải liên hệ với các nhà nghiên cứu
Pangu Lab cho biết: “Do số lượng lớn các ứng dụng có khả năng bị ảnh hưởng, chúng tôi không thể xác minh tất cả các kết quả một cách chính xác.
Ngoài ra, vì quá nhiều ứng dụng bị ảnh hưởng, các nhà nghiên cứu không thể liên hệ với các nhà phát triển của từng ứng dụng để thông báo cho họ về vấn đề này.
Công ty đang yêu cầu các nhà phát triển ứng dụng có trong danh sách các ứng dụng có khả năng bị ảnh hưởng liên hệ với nhóm nghiên cứu để nhận thông tin chi tiết về lỗ hổng ZipperDown, vì vậy mỗi nhà phát triển có thể kiểm tra và sửa chữa ứng dụng của mình.
Nếu bạn là nhà phát triển hoặc nhà cung cấp các ứng dụng trong danh sách, bạn có thể liên hệ với chúng tôi. Chúng tôi sẽ chia sẻ cho bạn chi tiết về ZipperDown và để chúng tôi hợp tác khắc phục sự cố tiềm ẩn trong ứng dụng của bạn. Chúng tôi cũng sẽ đánh giá cao nếu bạn có thể thông báo cho chúng tôi trong trường hợp ứng dụng được liệt kê của bạn không dễ bị tấn công. Cách tốt nhất để liên hệ với chúng tôi là Email sau: [email protected].
Android cũng bị ảnh hưởng
Các nhà nghiên cứu của Pangu Lab cũng cho biết các ứng dụng Android cũng bị ảnh hưởng bởi các vấn đề tương tự và họ sẽ công bố thêm thông tin chi tiết trong tương lai.
Tin tốt là việc khai thác ZipperDown không đơn giản như các lỗ hổng khác và kẻ tấn công phải ở trong một vị trí mạng để chiếm đoạt hoặc giả mạo lưu lượng truy cập vào thiết bị.
Hơn nữa, “hộp cát trên cả iOS và Android có thể hạn chế hiệu quả hệ quả của ZipperDown”, các nhà nghiên cứu cho biết.
