360加固保全球首家推出关于ZipperDown漏洞的Dex免修复加固方案

日前，一款名为ZipperDown的漏洞被披露，ZipperDown具备通用型特性，漏洞影响大，威胁等级极高，同时该漏洞形态灵活、变种类型多样。据不完全统计10%的IOS应用已经确定存在此漏洞，其中不乏众多流行应用。

同时根据360信息安全部官网(http://appscan.360.cn)显示，6.7%的Android应用也存在此漏洞，据此推算Android平台受影响用户更多，范围更广。

针对ZipperDown漏洞，360加固保首家推出三重防护措施，为APP开发者提供全方位、立体式的移动安全堡垒，大大降低漏洞被利用的可能，进一步保护广大用户个人数据和信息免遭窃取。

第一弹 – 360加固保首家推出Dex免修复加固方案

360加固保的安全专家，通过分析ZipperDown漏洞的攻击原理和影响范围，首家推出Dex免修复加固方案，该方案可以在加固的同时，自动的帮助开发者过滤掉unzip解压时的软链接以及文件名中“../”的文件。

开发者没有额外的开发成本，一键加固，一键修复，大大降低了ＡＰＰ被ZipperDown漏洞攻击的风险。开发者可自行联系360加固保（360jiagubao@360.cn），了解该方案的详细情况。

第二弹 – ZipperDown漏洞检测工具

第三方 Unzip 库在解压 Zip 包时并未对解压路径做额外的安全检查，可能存在“路径穿越”漏洞，进而损坏应用存储在本地的文件。配合应用中存在的其它安全缺陷，攻击者还可能在目标应用上获得远程代码执行能力。由于相关的解压缩库使用广泛，该漏洞的影响面较大。通过该项检测，可以检查目标应用是否受相关漏洞的影响。

开发者只需要上传您的APP到360加固保（www.jiagu.360.cn）,进行安全风险扫描，当您的APP存在unzip解压缩风险时，就要重点进行甄别与防护。确保zip解压文件时过滤掉文件中的软链接以及文件名中包含\"..\"的文件。

第三弹 - 通信协议加密SDK

360加固保拥有全部知识产权的通信协议加密SDK，通过对开发者预提交的https通信证书，进行校验和锁定，屏蔽各种第三方中间人注入工具（例如fiddler、burp等），防止https通信数据被拦截、窃听和修改，极大的保护了https通信中的协议安全，降低APP被ZipperDown等漏洞攻击的风险。