ZipperDown, la vulnerabilidad que afecta a apps de iOS y alguna de Android que ha sido descubierta por Pangu Lab. Instagram, Pandora, Dropbox, Amazon y una o dos apps de Google están en la lista.
ZipperDown, es una vulnerabilidad de seguridad descubierta por los jailbreakers chinos de Pangu Lab y que afecta a apps de iOS y posiblemente a alguna de Android.
La empresa solo ofrece detalles mínimos sobre el fallo, lo describe como: »Un error de programación común, que conlleva severas consecuencias como datos sobrescritos e incluso ejecución de código en el contexto de las apps afectadas.»
Puede sonar muy grave pero, realmente, lo que llama la atención es el número de apps afectadas que la empresa estima en 15.978 (un 9,5% de las 168.951 apps de la App Store) y que se han descargado sobre 100 millones de veces.
Admiten que es una estimación debido a la imposibilidad de chequear un número tan alto de apps individualmente. En lo referente a otras plataformas: »Hemos confirmado que muchas apps populares de Android tienen problemas similares. Revelaremos más datos sobre los resultados en Android en el futuro».
La empresa ha verificado manualmente que un número de apps chinas están afectadas incluyendo Weibo, MOMO, NetEase Music, QQ Music y Kwai, mientras Instagram, Pandora, Dropbox, Amazon y una o dos apps de Google están en la lista.
Saber si una app está afectada requiere que los desarrolladores realicen comprobaciones manualmente app por app.
Como se explicita en el aviso de Pangu Lab, para poderla explotar se necesita controlar la red WiFi, por ejemplo, en un punto de acceso público comprometido. Eso no es algo difícil de conseguir, pero limita en gran medida las posibilidades de infectar a la mayoría de usuarios.
»El sandox de iOS y Android pueden efectivamente limitar las consecuencias de ZipperDown», admite también la empresa.
Algo preocupante sobre esta alerta es que mientras dicha organización no ha desvelado detalles para dar a los desarrolladores tiempo a chequear si sus apps necesitan ser retocadas, parece que hay más personas que la conocen, algunos incluso afirman que es un tema transversal de ZipArchive.
Si todo esto es cierto, no tardarán en aparecer exploits. Los desarrolladores de software deberían chequear sus apps y, si es necesario, corregirlas lo antes posible. Con tantas apps aparentemente afectadas, y teniendo que avisar a tantos desarrolladores, comunicar el problema es un tema complicado.
