ZipperDown pilla a 16.000 apps de iOS con los pantalones bajados

ActualidadiOSvulnerabilidad

Estos días, parece que hay dos tipos de vulnerabilidades de seguridad, las que tienen nombres alarmantes y logos espectaculares o las que simplemente son un mero número CVE.

El último ejemplo de las primeras es ZipperDown, descubierta por los jailbreakers chinos de Pangu Lab y que afecta a apps de iOS y posiblemente a alguna de Android.

La empresa solo ofrece detalles mínimos sobre el fallo, aparte de describirlo como:

Un error de programación común, que conlleva severas consecuencias como datos sobrescritos e incluso ejecución de código en el contexto de las apps afectadas.

Esto suena terrible pero esta vez lo que llama la atención es el número de apps afectadas que la empresa estima en 15.978 (un 9,5% de las 168.951 apps de la App Store) y que se han descargado sobre 100 millones de veces.

Admiten que es una estimación debido a la imposibilidad de chequear un número tan alto de apps individualmente. En lo referente a otras plataformas:

Hemos confirmado que muchas apps populares de Android tienen problemas similares. Revelaremos más datos sobre los resultados en Android en el futuro.

La empresa ha verificado manualmente que un número de apps chinas están afectadas incluyendo Weibo, MOMO, NetEase Music, QQ Music y Kwai, mientras Instagram, Pandora, Dropbox, Amazon y una o dos apps de Google están en la lista.

Saber si una app está afectada requiere que los desarrolladores realicen comprobaciones manualmente app por app.

Pero mientras que ZipperDown suena como un grave problema, como habitualmente ocurre con las vulnerabilidades con un nombre terrorífico, ésta posiblemente pertenezca a segunda división.

Como se explicita en el aviso de Pangu Lab, para poderla explotar se necesita controlar la red WiFi, por ejemplo, en un punto de acceso público comprometido. Eso no es algo difícil de conseguir, pero limita en gran medida las posibilidades de infectar a la mayoría de usuarios.

La empresa también admite:

El sandox de iOS y Android pueden efectivamente limitar las consecuencias de ZipperDown.

Algo preocupante sobre esta alerta es que mientras dicha organización no ha desvelado detalles para dar a los desarrolladores tiempo a chequear si sus apps necesitan ser retocadas, parece que hay más personas que la conocen, algunos incluso afirman que es un tema transversal de ZipArchive.

Si todo esto es cierto, no tardarán en aparecer exploits. Los desarrolladores de software deberían chequear sus apps y, si es necesario, corregirlas lo antes posible.

Sea lo que sea, ZipperDown es una vulnerabilidad rara. Con tantas apps aparentemente afectadas, y teniendo que avisar a tantos desarrolladores, comunicar el problema es un tema complicado. A lo mejor en este caso ha sido una buena idea darle un nombre atrayente para que todos se pongan manos a la obra.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Your email address will not be published.