近日，安全分析人員披露ZipperDown漏洞，波及Android和iOS平臺，通過對iOS應用市場中168,951個iOS應用進行審核，發現15,979個應用可能受此漏洞的影響，占比高達10%。攻擊者可以利用此漏洞對受影響用戶進行任意代碼執行，嚴重危及應用業務場景，破壞業務，造成損失。該漏洞利用應用對下載的zip壓縮包解壓文件路徑校驗不嚴的問題，構建非法路徑實現路徑穿越，從而替換原程序內容，進行遠程任意代碼非法執行，造成破壞。

　　安天移動安全團隊針對事件深度分析之后認為，該漏洞的真實影響還需結合應用自身業務場景進一步排查，不能簡單粗暴判定該漏洞一定會真實危及業務場景，附錄中有詳細的技術分析和修復建議。同時，有部分應用是由于采用第三方庫而引入該漏洞，其風險也需要進一步評估后跟第三方庫開放者溝通。

　　同時針對支付行業應用進行摸底測試后發現，在當前智能POS支付類應用、非支付類應用以及手機相關支付類應用中，均發現部分應用存在ZipperDown漏洞，雖然智能POS應用較之手機應用業務場景相對簡單，但是結果顯示仍然近三成的智能POS應用存在相應安全隱患。

　　zip文件路徑穿越問題不是一個新問題。很早之前就已經被安全分析人員披露，但是一直未引起行業廣泛重視。本次ZipperDown漏洞爆出，披露的相關數據就能說明問題。安全無小事，即使很小的一個安全隱患，沒有嚴肅認真對待，也可能引發嚴重的安全后果。同時第三方庫導致ZipperDown漏洞的引入，也揭示了現如今，安全已不單單是一個單點問題，它需要生態的參與各方一同攜手聯動，共同構建安全生態，避免風險的引入。

　　網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。智能商業終端做為金融領域中的關鍵信息基礎設施，更加應當成為是網絡安全的重中之重。引入產業的參與各方應當攜手多方聯動，切實做好國家關鍵信息基礎設施安全防護。

　　附錄：漏洞詳細原理

　　下圖為一個安卓程序正常解壓縮代碼示例：

　　在標注處可以看出，當對一個zip文件進行解壓時，通過遍歷獲得zip包中的壓縮文件文件名，通過路徑拼接獲取解壓目標路徑。但是由于zip包中允許存在類似“../”的文件路徑格式，因此拼接出來的路徑可以實現路徑穿越，將zip包中的文件解壓縮到外面的路徑。

　　攻擊者通過構建如下圖所示的熱修復升級包update.zip，其中存在路徑穿越的惡意運行庫libpay.so，解壓后替換本地原來的libpay.so，攻擊者就成功的在當前程序中插入了自己惡意運行庫，后續可以嘗試竊取信息，業務劫持等操作。

　　漏洞修復建議

　　參考修復建議如下，開發者可以根據自身業務場景需求，選擇最適合自身業務的修復建議。

　　1. 應用在加載外部zip壓縮包時，需要對壓縮包中解壓路徑進行校驗。

　　2. 應用在加載外部zip包，可以采用校驗機制，確保加載的zip包確實為合法zip，沒有被替換。

　　3. 應用下載zip包的通信信道，采用安全通信通道確保不存在被篡改、劫持、替換的可能。

責任編輯：韓希宇