資安廠商 Lookout 近期發表研究報告,指出該公司旗下研究人員發現電商網站「拼多多」在第三方應用程式商店上架的官方 Android App,內含數個 0-day 漏洞;資安研究人員指出拼多多涉嫌利用這些 0-day 漏洞竊取並監控用戶。
資訊技術網站 Ars Technica 報導引用 Lookout 資安研究人員提供的資訊,指出至少有兩個非 Google、Apple 官方應用程式商店中的拼多多官方 App,含有可利用 Android 0-day 漏洞 CVE-2023-20963 的惡意程式碼。該漏洞已在本(2023)年三月初由 Google 發行的 Android 資安更新中完成修復。
Lookout 的資安研究人員指出,駭侵者可利用此漏洞來提升執行權限,並自控制伺服器中下載額外的惡意程式碼,以提升過後的權限來執行。Lookout 也指出,用以簽署兩個遭發現含有惡意程式碼拼多多官方 App APK 的私鑰,也用在該公司上傳到 Google Play Store 中不含惡意程式碼的 App 簽署。
在 Ars Technica 報導 Lookout 的發現數日之前,Google 便已接獲多個資安研究人員反應,指出包括拼多多在內的多家電子商務網站,在第三方應用程式商店上架的 App 版本均內含惡意程式碼;Google 因而在其 Android 裝置的資安防護機制 Google Play Protect 中新增對這些應用程式的阻擋,用戶將無法安裝這些 App;已安裝者也會收到刪除通知。
由於在中國境內無法存取 Google 官方 Play Store,因此拼多多 Android App 在如三星、華為、Oppo、小米等第三方應用程式商店中上架。
建議 Android 手機用戶除應盡可能避免在不明來源下載任何 App 外,也應隨時依原廠更新通知進行手機作業系統更新。
- 參考連結
Android app from China executed 0-day exploit on millions of devices
Google flags apps made by popular Chinese e-commerce giant as malware
留言列表
資安宣導 (2)
