Ảnh: REUTERS
Pangu cho biết: "ZipperDown là một lỗi lập trình rất điển hình có thể dẫn đến hậu quả nghiêm trọng. Theo khảo sát, 15.978 trong số 168.951 ứng dụng iOS hiện dính lỗi này, trong đó có một số ứng dụng đã được tải xuống hơn 100 triệu lần. Để thực hiện tấn công, hacker sẽ kiểm soát mạng Wi-Fi để khai thác lỗ hổng và chạy mã độc."
Để chứng minh, Pangu đã đăng một video cho thấy người dùng tải xuống và sử dụng dịch vụ Weibo trong môi trường kết nối Wi-Fi không an toàn. Một hacker sau đó đã khai thác ZipperDown trong Weibo và thực thi chạy mã từ xa để kiểm soát ứng dụng.
Pangu nói thêm lỗi này liên quan đến một tiện ích của bên thứ ba có tên ZipArchive cho phép các ứng dụng iOS đọc và ghi các tệp nén, đồng thời lưu ý người dùng rằng công cụ sandbox trên cả iOS và Android có thể giúp hạn chế lỗi ZipperDown.
Ngoài ra, Pangu còn thực hiện kiểm tra quy mô lớn trên nền tảng phân tích ứng dụng Janus và phát hiện khoảng 10% các ứng dụng iOS bị ảnh hưởng bởi các vấn đề tương tự, bao gồm Instagram, Amazon, Twitter và Dropbox. Trong khi đó, Weibo, NetEase Music, QQ Music và Kwai thì chắc chắn có lỗ hổng.
Nhóm cũng xác nhận nhiều ứng dụng Android phổ biến khác cũng dễ bị khai thác và sẽ sớm công bố thêm thông tin về các ứng dụng bị ảnh hưởng.
Trước nghiên cứu trên, Will Strafach, nhà sáng lập công ty bảo mật ứng dụng Verify.ly, khuyến khích người dùng iPhone cập nhật ứng dụng để tránh sự cố không mong muốn và cho rằng lỗ hổng có thể được khắc phục dễ dàng với các bản cập nhật.
Đăng ký tại đây
Bình luận hay