2018年5月15日，盘古团队在微信发布重大漏洞预警。称在iOS 应用安全审计中发现一类通用安全漏洞，在不安全的WIFI环境下载使用微博，攻击者可以获取微博中任意代码执行能力，并且在安卓平台发现了类似漏洞。

研究人员把漏洞命名为ZipperDown，这是一个常见的编程错误，导致的后果是数据覆盖，存在漏洞的应用甚至可以被黑客用来执行代码。

盘古实验室开发了自动化的扫描规则，并且在漏洞官网提供漏洞应用列表。在持续更新的疑似受影响的应用列表中，目前已经有近16000个应用，其中包括QQ音乐、微博、QQ 空间、快手、微信读书等。

盘古实验室透露，ZipperDown 漏洞危害与受影响应用功能及权限相关。在某些应用中，攻击者仅能利用ZipperDown漏洞破坏应用数据，而在某些应用中攻击者也能够获取任意代码执行能力。

在不安全WIFI下下载使用WIFI的漏洞利用演示

对已经收集到的近17万应用检测发现，受影响的应用占比高达10%。尽管可以通过指纹匹配的方式来检测应用是否受影响，但ZipperDown漏洞形态灵活多变，导致较高的漏报率。因此最可靠的方式还是人工分析。

鉴于该漏洞影响深远，盘古实验室目前并不会公开漏洞细节。同时积极与应用开发者合作，共同排查此漏洞：

目前，为保证用户安全，漏洞细节暂不对外公开。

如果你是疑似受影响App的开发者，请与我们联系，我们会告诉你漏洞细节并辅助你进行ZipperDown漏洞的排查。

盘古实验室研究人员还表示，Android应用同样也存在相关问题，他们会在未来公布更多细节。

好消息是，漏洞的影响没有那么的严重，要想进行攻击，黑客必须能够劫持或者嗅探网络流量，另外，iOS和Android的沙盒机制也会限制ZipperDown漏洞的影响。