近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。
Zip压缩包路径穿越简述
Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包update.zip中包含了一个文件libpay.so,但是该文件的路径为“……\”,当该文件被解压时,如果没有进行相应处理,那么该文件将会被解压到相应的上级目录中,实现了路径穿越,即真实解压后,其路径为[预期解压位置]……\libpay.so,穿越了当前预期解压位置,到达了攻击者想要构造的任意路径。
“ZipperDown”漏洞描述
当前大量应用均会读取zip压缩包进行相关业务,最常见的场景就是从服务器下载压缩包,进行资源、代码热更新。通过Zip压缩包路径穿越描述可知,如果攻击者通过技术手段,如远程劫持或本地替换等方式将应用加载的zip压缩包替换成存在路径穿越的恶意压缩包,而应用又未对解压文件进行路径判断,攻击者便可以对应用资源、代码进行任意篡改、替换,从而实现远程代码劫持等高危操作,危害应用业务场景。
分析发现,“ZipperDown”漏洞是一个应用层面的漏洞,应用如果没有对解压文件进行路径穿越问题的防护,就存在“ZipperDown”漏洞。
“ZipperDown”漏洞对支付行业的影响
本次ZipperDown漏洞事件发生后,安天移动安全第一时间启动该漏洞的应急响应流程,同时对支付行业应用进行了初步的安全检测,希望客观公正地反映漏洞对支付行业的实际影响。
目前,在智能POS支付类应用、非支付类应用以及手机相关支付类应用中,均发现部分应用存在ZipperDown漏洞,虽然智能POS应用较之手机应用业务场景相对简单,但是结果显示仍有近3成的智能POS应用存在相应安全隐患。
安天移动安全经研究深度分析后认为,该漏洞的真实影响还需结合应用自身业务场景进一步排查,不能简单粗暴判定该漏洞是否一定会真实危及业务场景。同时,有部分应用是由于采用第三方库而引入该漏洞,其风险也需要进一步评估后跟第三方库开发者沟通。
下图为存在“ZipperDown”漏洞的一个应用代码示例。
可以发现,当在尝试解压的时候,对于zip包中的文件,其路径名可能存在路径穿越问题。当应用加载存在路径穿越的恶意压缩包时,由于缺少对路径的校验,使得恶意压缩包中的内容通过路径穿越,覆盖原应用文件。以libpay.so为例,攻击者构建的update.zip中存在路径穿越的恶意运行库libpay.so,解压后替换本地原来的库文件,就成功的在当前程序中插入了恶意运行库,进而实施信息窃取、业务劫持等操作。
针对“ZipperDown”安卓高危漏洞的威胁态势,安天移动安全建议从排查和修复两方面入手,先对市场运营方所有应用进行漏洞检测和分析,随后结合业务场景进一步明确漏洞危害以及制定相应修复建议。具体策略建议如下:
step1:针对应用市场已上架和将上架的应用,需要进行应用“ZipperDown”漏洞专项检测,确定其是否存在 “ZipperDown”漏洞,保证源头安全。安天移动安全可免费提供检测工具和技术支持。
step2:针对存在“ZipperDown”漏洞的应用,需要结合业务场景进一步分析,从而明确漏洞危害,并且制定相应修复建议。参考修复建议如下,开发者可以根据自身业务场景需求,选择最适合自身业务的策略。
·应用在加载外部zip压缩包时,需要对压缩包中解压路径进行校验。
·应用在加载外部zip包,可以采用校验机制,确保加载的zip包确实为合法zip,没有被替换。
·应用下载zip包的通信信道,采用安全通信通道确保不存在被篡改、劫持、替换的可能。
此外,针对由第三方库引入而导致的风险,需要开发者协同第三方库开发者沟通共同制定修复方案。安天移动安全可免费提供咨询服务和技术支持,携手市场运营方、开发者以及第三方库开发者共同解决“ZipperDown”漏洞安全隐患。
zip文件路径穿越并不是一个新问题,早已被安全分析人员披露,但是一直未引起行业广泛重视。本次ZipperDown漏洞爆出,披露的相关数据说明“安全无小事”,即使很小的一个安全隐患,如果没有严肃认真对待,也可能引发严重的安全后果。同时第三方库导致ZipperDown漏洞的引入,也说明如今安全已不单单是一个单点问题,它需要生态的参与各方一同携手联动,共同构建安全生态,避免风险的引入。
网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。智能商业终端作为金融领域中的关键信息基础设施,无疑是是网络安全的重中之重,因而产业的参与各方应当携手多方联动,切实做好国家关键信息基础设施安全防护。
近年,安天移动安全积极涉足智能POS防护领域,以多年的移动安全技术与经验为基础,通过与多家知名智能POS厂商和大型支付机构的合作,针对智能POS提出了一套完整的安全解决方案,在威胁的事前、事中和事后阶段形成全生命周期的安全防护,为智能POS终端厂商及支付机构提供高效的移动安全产品与服务,为个人消费者提供全方位的支付安全防护。