L’application Android de Chine a exécuté un exploit de 0 jour sur des millions d’appareils

[ad_1]

Les applications Android signées numériquement par la troisième plus grande société de commerce électronique chinoise ont exploité une vulnérabilité de type « jour zéro » qui leur a permis de prendre subrepticement le contrôle de millions d’appareils d’utilisateurs finaux pour voler des données personnelles et installer des applications malveillantes, ont confirmé des chercheurs de la société de sécurité Lookout.

Les versions malveillantes de l’application Pinduoduo étaient disponibles sur des marchés tiers, sur lesquels les utilisateurs en Chine et ailleurs comptent, car le marché officiel de Google Play est interdit ou difficile d’accès. Aucune version malveillante n’a été trouvée dans Play ou dans l’App Store d’Apple. Lundi dernier, a rapporté TechCrunch, Pinduoduo a été retiré de Play après que Google a découvert une version malveillante de l’application disponible ailleurs. TechCrunch a signalé que les applications malveillantes disponibles sur les marchés tiers exploitaient plusieurs jours zéro, qui sont des vulnérabilités connues ou exploitées avant qu’un fournisseur ne dispose d’un correctif.

Attaque sophistiquée

Une analyse préliminaire de Lookout a révélé qu’au moins deux versions hors jeu de Pinduoduo pour Android exploitaient CVE-2023-20963, le numéro de suivi d’une vulnérabilité Android corrigée par Google dans les mises à jour qui sont devenues disponibles pour les utilisateurs finaux il y a deux semaines. Cette faille d’élévation des privilèges, qui a été exploitée avant la divulgation de Google, a permis à l’application d’effectuer des opérations avec des privilèges élevés. L’application a utilisé ces privilèges pour télécharger du code à partir d’un site désigné par le développeur et l’exécuter dans un environnement privilégié.

Les applications malveillantes représentent « une attaque très sophistiquée pour un logiciel malveillant basé sur une application », a écrit Christoph Hebeisen, l’un des trois chercheurs de Lookout qui ont analysé le fichier, dans un e-mail. « Ces dernières années, les exploits n’ont généralement pas été observés dans le contexte d’applications distribuées en masse. Compte tenu de la nature extrêmement intrusive de ces logiciels malveillants sophistiqués basés sur des applications, il s’agit d’une menace importante contre laquelle les utilisateurs mobiles doivent se protéger.

Hebeisen était assisté par les chercheurs de Lookout Eugene Kolodenker et Paul Shunk. Le chercheur a ajouté que l’analyse de Lookout avait été accélérée et qu’un examen plus approfondi trouverait probablement plus d’exploits dans l’application.

Pinduoduo est une application de commerce électronique pour connecter les acheteurs et les vendeurs. Il a récemment été signalé qu’il comptait 751,3 millions d’utilisateurs actifs mensuels moyens. Bien qu’encore plus petite que ses rivales chinoises Alibaba et JD.com, PDD Holdings, la société mère cotée en bourse de Pinduoduo, est devenue la société de commerce électronique à la croissance la plus rapide dans ce pays.

Après que Google ait supprimé Pinduoduo de Play, les représentants de PDD Holdings ont nié les allégations selon lesquelles l’une de ses versions d’application était malveillante.

« Nous rejetons fermement les spéculations et les accusations selon lesquelles l’application Pinduoduo est malveillante de la part d’un chercheur anonyme », ont-ils écrit dans un e-mail. « Google Play nous a informés le 21 mars au matin que Pinduoduo APP, parmi plusieurs autres applications, a été temporairement suspendue car la version actuelle n’est pas conforme à la politique de Google, mais n’a pas partagé plus de détails. Nous communiquons avec Google pour plus d’informations.

Les représentants de l’entreprise n’ont pas répondu aux e-mails qui posaient des questions de suivi et divulguaient les résultats de l’analyse médico-légale de Lookout.

[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*