安卓、iOS雙平臺現重大安全漏洞，微博、網易雲音樂等大型應用均受影響

盤古實驗室在針對不同客戶的iOS應用安全審計過程中，發現了一類通用的安全漏洞。建立漏洞指紋後，我們在Janus平臺上進行溯源分析和相似漏洞檢索，結果發現約10%的iOS應用可能受此漏洞的影響。經過手工分析，我們確認微博、陌陌、網易雲音樂、QQ音樂、快手等流行應用受影響。

漏洞演示影片中，使用者在不安全WiFi環境裡下載並使用微博；攻擊者利用該漏洞獲取了微博應用中任意程式碼執行能力。

對已經收集到的近17萬應用檢測發現，受影響的應用佔比高達10%。儘管可以透過指紋匹配的方式來檢測應用是否受影響，但ZipperDown漏洞形態靈活多變，導致較高的漏報率。因此最可靠的方式還是人工分析。

目前，為保證使用者安全，漏洞細節暫不對外公開。由於漏洞影響範圍之廣，我們無法逐一驗證所有疑似受影響的應用，也無法逐一通告給所有疑似受影響的應用開發者。因此，我們透過公佈疑似受影響漏洞列表的方式，邀請開發者和我們協同排查此漏洞。