编程错误暴露让成千上万的iOS应用程序被劫持

据中国的安全研究人员称，成千上万的iOS应用程序显然存在编程错误，可能会导致产品遭受劫持。

iPhone 越狱专家盘古团队表示，他们在审核多款iOS应用时发现了这个问题。编程错误可以让黑客在与iPhone相同的Wi-Fi网络上覆盖数据并在受影响的应用程序中执行代码。

“令人惊讶的是，我们发现大约10％的iOS应用可能会受到相同或类似问题的影响，”该团队说。为了验证这个数字，越狱专家们抽取了169,000个iOS应用程序样本，发现有近16,000个有这个缺陷。

盘古创建了一个关于编程错误的网站，他们称之为“ZipperDown”。他们还上传了一个视频，展示了问题。其中，用户下载一个名为微博的中文微博服务，然后通过一个开放的Wi-Fi网络攻击微博，以在应用内获得远程代码执行。

为了防止不良行为者利用这个缺陷，盘古没有透露它的技术细节。尽管如此，一位名叫Will Strafach的iOS安全研究员获得了有关细节的信息，并告诉PCMag编程错误确实是合法的。

“这确实是一个真正的和有趣的发现，”Strafach在Twitter的直接消息中说。“我认为这里用户的主要行动项目是在这几个星期内关注应用程序更新，并努力在应用程序更新可用时尽快更新。”

到目前为止，苹果没有评论这个问题，目前还不清楚盘古是否向苹果公司或任何应用开发商报告了这个编程错误。苹果在其App Store上有超过200万个应用程序。

“ZipperDown是一种新型的漏洞吗？不.ZuperDown是一种非常典型的编程错误，我们并不认为有那么多的iOS应用程序出现这个问题。”该团队说。

虽然盘古是在隐瞒有关这个问题的技术细节，但中国的其他研究人员已经发布了更多关于ZipperDown的细节。根据这些帖子，错误涉及称为ZipArchive的第三方实用程序，它允许iOS应用程序读取和写入Zip文件。实施中的错误可能会让攻击者利用该应用程序运行恶意计算机代码。这样做似乎需要黑客控制Wi-Fi网络，以便他们可以劫持流量和欺骗应用服务。

为了帮助应用程序开发者修补这个漏洞，盘古团队上传了一个所有受到影响的iOS应用程序列表。包括Instagram，潘多拉，Dropbox和亚马逊，但专家指出它可能在列表中的任何应用程序可能被错误标记，因此他们推荐应用程序开发人员手动检查。

盘古团队表示，亲自验证了包括微博，社交网络服务陌陌和QQ音乐在内的几款流行中文应用都存在编程错误。

“我们已经证实，许多流行的Android应用程序都有类似的问题，我们将在未来发布更多针对Android应用程序的结果。”该团队补充说。