近日，一款名为“ZipperDown漏洞”在iOS平台被披露，据安全专家称，大约10%的iOS应用均会受到此漏洞影响。对于该漏洞，爱加密自动检测平台可为用户提供针对性检测服务，通过静态、动态检测来及时圈定检测重点，综合运用移动应用渗透技术，为移动应用提供更全面的漏洞检测与分析服务。

由于该漏洞并不是新漏洞，其影响主要取决于具体APP和它所获取的权限，所以在Android平台上也发现了类似漏洞。攻击者利用该漏洞可获取到用户隐私（包括手机应用数据、照片、文档等敏感信息）与任意代码执行的能力，让用户在不知情的情况下完全控制手机内的APP。

由于该漏洞广泛应用于iOS平台，并具备通用型特性，导致大量APP受影响，其中不乏快手、网易云音乐、QQ音乐等热门软件。值得一提的是，在“ZipperDown漏洞”爆发时，爱加密第一时间针对此漏洞推出安全防护建议，并率先进行漏洞分析与推出漏洞解决方案；同时在两天内，针对该漏洞的专项检测已经及时纳入爱加密APP自动检测平台，用户可以通过自动化检测平台对APP进行专项检测。

爱加密针对iOS平台与Android平台的不同特性推出安全解决方案

Android：使用爱加密通讯协议加密SDK，对通信过程中的数据进行加密，并保证数据不被篡改；建议与服务端数据交互时使用加密通道，并对传输数据进行完整性、真实性校验，防止Zip包拦截替换；程序中使用 ZipInputStream 类对 Zip压缩包进行解压操作时，在 ZipEntry.getName()获取的文件名后，添加过滤代码对文件名中可能包含的”../” 进行过滤判断。

iOS：使用爱加密通讯协议加密SDK，对通信过程中的数据进行加密，并保证数据不被篡改；Zip解压文件时过滤文件中的软链接以及文件名中包含../../的文件；建议与服务端数据交互时使用加密通道；建议使用非对称加密方式处理存储在本地的补丁文件；对服务端传输的数据进行完整性、真实性校验。

同时，爱加密也为开发者提供规避措施：对ZipEntry进行解压时，过滤对具有特殊字符的文件进行解压，或者解压到本地文件名称不能包含特殊字符；客户端与服务端通信时，使用HTTPS安全传输协议，确保APP与服务端交互中的数据有经过HTTPS协议加密；对APP下载的Zip包文件进行传输过程中的加密保护，并在客户端对此Zip包进行完整性、合法性验证，防止被替换。对于普通用户，爱加密建议不要随意使用未经认证的WIFI热点，并及时更新手机中的APP。