CISA alerta sobre bug no Android explorado por aplicativo chinês para espionar usuários
17 de Abril de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) alertou hoje sobre uma vulnerabilidade de alta severidade em dispositivos Android, acredita-se que tenha sido explorada pelo aplicativo chinês de comércio eletrônico Pinduoduo como um zero-day para espionar seus usuários.

Essa falha de segurança do Android Framework (rastreada como CVE-2023-20963 ) permite que invasores aumentem os privilégios em dispositivos Android não corrigidos sem exigir interação do usuário.

"O Android Framework contém uma vulnerabilidade não especificada que permite a escalada de privilégios após a atualização de um aplicativo para um SDK de destino mais alto, sem necessidade de privilégios adicionais de execução", explica a CISA.

O Google corrigiu o bug em atualizações de segurança lançadas no início de março, dizendo que "há indicações de que o CVE-2023-20963 pode estar sob exploração limitada e direcionada".

Em 21 de março, o Google suspendeu o aplicativo oficial de compras do gigante varejista online chinês Pinduoduo (que afirma ter mais de 750 milhões de usuários ativos mensais) da Play Store depois de descobrir malware em versões fora da Play do aplicativo, marcando-o como um aplicativo prejudicial e avisando os usuários que poderia permitir "acesso não autorizado" aos seus dados ou dispositivo.

Dias depois, os pesquisadores da Kaspersky também revelaram que haviam encontrado versões do aplicativo explorando vulnerabilidades do Android (uma delas CVE-2023-20963 , de acordo com a Ars Technica) para escalonamento de privilégios e instalação de módulos adicionais projetados para espionar os usuários.

"Algumas versões do aplicativo Pinduoduo continham código malicioso, que explorava vulnerabilidades conhecidas do Android para escalar privilégios, baixar e executar módulos maliciosos adicionais, alguns dos quais também tinham acesso às notificações e arquivos dos usuários", disse o pesquisador de segurança da Kaspersky, Igor Golovin, à Bloomberg.

As agências do Poder Executivo Civil Federal dos EUA (FCEB) têm até 4 de maio para proteger seus dispositivos contra a vulnerabilidade CVE-2023-20963 adicionada pela CISA à sua lista de Vulnerabilidades Exploradas Conhecidas na quinta-feira.

De acordo com a diretriz operacional vinculativa (BOD 22-01) de novembro de 2021, as agências federais devem verificar e corrigir suas redes para todas as falhas de segurança incluídas no catálogo KEV da CISA.

Mesmo que o catálogo seja direcionado principalmente às agências federais dos EUA, é altamente recomendável que as empresas privadas também tratem as vulnerabilidades no catálogo da CISA com prioridade.

"Esses tipos de vulnerabilidades são vetores frequentes de ataque para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", disse a agência de segurança cibernética dos EUA.

Na segunda-feira, a CISA também ordenou que as agências federais corrigissem iPhones e Macs contra duas vulnerabilidades de segurança exploradas como zero-day até 1º de maio.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...