一份新报告称,中国主要购物应用程序拼多多利用Android操作系统中的零日漏洞提升自身权限,窃取个人数据(在新标签页中打开)从受感染的端点,并安装恶意应用程序。
这些指控得到了包括网络安全专家卡巴斯基在内的多个消息来源的证实,卡巴斯基分析了该应用程序的“先前版本”,该应用程序仍通过中国当地的应用程序商店分发,并得出结论认为它利用了一个漏洞来安装后门。
卡巴斯基安全研究员IgorGolovin表示:“拼多多应用程序的某些版本包含恶意代码,这些代码利用已知的Android漏洞来提升权限、下载和执行其他恶意模块,其中一些模块还可以访问用户的通知和文件。”布隆伯格。
然而,ArsTechica(在新标签页中打开)报道称,在Play商店和苹果商店都能找到的拼多多版本都是干净的。尽管如此,谷歌上周仍将其从其应用程序存储库中撤下,并敦促其用户在安装时将其卸载。
据彭博社报道,该公告称该应用程序“有害”,并告知其用户他们的数据和设备存在风险。该应用程序背后的公司PDD否认有任何不当行为,并表示这些应用程序是干净的。
拼多多应用程序是恶意的猜测和指责,”该公司在一封电子邮件中告诉ArsTechnica。“GooglePlay于3月21日上午通知我们,由于当前版本不符合Google的政策,拼多多APP以及其他几个应用程序被暂时停用,但没有透露更多细节。我们正在与谷歌沟通以获取更多信息。”
Lookout的第一个分析是,至少有两个版本的应用程序利用了一个被追踪为CVE-2023-20963的漏洞,该漏洞大约在两周前被修补。这是一个特权升级漏洞,在谷歌公开披露其存在之前就已被利用。
根据Lookout的ChristophHebeisen的说法,这是“针对基于应用程序的恶意软件的非常复杂的攻击”。“近年来,在大规模分发应用程序的环境中通常不会看到漏洞利用。鉴于此类复杂的基于应用程序的恶意软件极具侵入性,这是移动用户需要防范的重要威胁。”