La vulnerabilidad de ZipperDown puede afectar al 10% de todas las aplicaciones de iOS

Investigadores de seguridad de Pangu Lab, una conocida compañía que proporciona jailbreaks para iOS, dijeron el lunes que han encontrado una vulnerabilidad que, según creen, afecta al 10% de todas las aplicaciones de iOS.

Los investigadores describieron el problema, que denominaron ZipperDown, como "un error de programación común, que conduce a graves consecuencias como la sobreescritura de datos e incluso la ejecución de código en el contexto de las aplicaciones afectadas".

15,978 de las 168,951 aplicaciones disponibles iOS probablemente se vean afectadas

Pangu Lab dijo que creó una regla de exploración automática para buscar ZipperDown en las aplicaciones de iOS. Los investigadores descubrieron que 15,978 del total de 168,951 aplicaciones de iOS que escanearon parecen verse afectadas por la vulnerabilidad de ZipperDown, aunque las aplicaciones deben ser inspeccionadas manualmente para confirmar que se vean afectadas.

La lista de aplicaciones vulnerables también incluye varias aplicaciones iOS de alto perfil que tienen más de 100 millones de usuarios, como Weibo, MOMO, NetEase Music, QQ Music y Kwai.

Los investigadores también publicaron un video de demostración que explota ZipperDown en la aplicación Weibo para lograr los derechos de ejecución del código.

Los desarrolladores de aplicaciones vulnerables deben ponerse en contacto con los investigadores

"Debido a la gran cantidad de aplicaciones potencialmente afectadas, no podemos verificar todos los resultados con precisión", dijo Pangu Lab.

Además, debido a que muchas aplicaciones se ven afectadas, los investigadores no pudieron ponerse en contacto con los desarrolladores de cada aplicación individualmente para informarles sobre el problema.

La compañía está pidiendo a los desarrolladores de aplicaciones que se encuentran en su lista de aplicaciones potencialmente afectadas que se pongan en contacto con el equipo de investigación para recibir detalles sobre la vulnerabilidad ZipperDown, para que cada desarrollador pueda probar y corregir su aplicación.

Si fue el desarrollador o el vendedor de alguna de las aplicaciones de la lista, puede ponerse en contacto con nosotros. Le compartiríamos los detalles de ZipperDown y nos permitiría solucionar de forma cooperativa el posible problema en su aplicación. También agradeceríamos que nos notificara en caso de que su aplicación no sea vulnerable. La mejor forma de comunicarse con nosotros es el siguiente correo electrónico: zipperdown@pwnzen.com.

Android también se ve afectado

Los investigadores de Pangu Lab también dijeron que las aplicaciones de Android también se ven afectadas por problemas similares y que lanzarán más detalles en el futuro.

La buena noticia es que explotar ZipperDown no es tan sencillo como otras vulnerabilidades y un atacante debe estar en una posición de red para secuestrar o simular tráfico al dispositivo.

Además, "el entorno limitado tanto en iOS como en Android puede limitar efectivamente las consecuencias de ZipperDown", dijeron los investigadores.