Vulnerabilidades graves no Android e na Novi Survey sob exploração ativa
14 de Abril de 2023

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) adicionou duas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

As duas falhas estão listadas abaixo:

CVE-2023-20963 (pontuação CVSS: 7,8) - Vulnerabilidade de Escalonamento de Privilégios do Android Framework

CVE-2023-29492 (pontuação CVSS: a ser determinada) - Vulnerabilidade de Deserialização Insegura do Novi Survey

"O Framework do Android contém uma vulnerabilidade não especificada que permite o escalonamento de privilégios após a atualização de um aplicativo para um SDK de destino mais alto, sem a necessidade de privilégios adicionais de execução", disse a CISA em um aviso para a CVE-2023-20963 .

A Google, em seu Boletim de Segurança Android mensal de março de 2023, reconheceu que "há indicações de que a CVE-2023-20963 pode estar sob exploração limitada e direcionada".

O desenvolvimento ocorre enquanto o site de notícias de tecnologia Ars Technica divulgou no final do mês passado que aplicativos do Android assinados digitalmente pela empresa chinesa de comércio eletrônico Pinduoduo usaram a falha para assumir o controle dos dispositivos e roubar dados sensíveis, citando análise da empresa de segurança móvel Lookout.

Entre as capacidades do aplicativo com malware estão inflar o número de usuários ativos diários e mensais da Pinduoduo, desinstalar aplicativos concorrentes, acessar notificações e informações de localização e impedir a própria desinstalação.

A CNN, em um relatório de acompanhamento publicado no início do mês, disse que uma análise da versão 6.49.0 do aplicativo revelou código projetado para alcançar o escalonamento de privilégios e até mesmo rastrear a atividade do usuário em outros aplicativos de compras.

As explorações permitiram que o aplicativo malicioso acessasse contatos, calendários e álbuns de fotos dos usuários sem o consentimento deles e solicitasse um "grande número de permissões além das funções normais de um aplicativo de compras", disse o canal de notícias.

Vale ressaltar que a Google suspendeu o aplicativo oficial da Pinduoduo da Play Store em março, citando malware identificado em "versões fora da loja" do software.

Dito isso, ainda não está claro como esses arquivos APK foram assinados com a mesma chave usada para assinar o aplicativo legítimo da Pinduoduo.

Isso pode indicar um vazamento de chave, o trabalho de um insider desonesto, uma comprometimento do pipeline de construção da Pinduoduo ou uma tentativa deliberada da empresa chinesa de distribuir malware.

A segunda vulnerabilidade adicionada ao catálogo KEV se relaciona a uma vulnerabilidade de deserialização insegura no software Novi Survey que permite que atacantes remotos executem código no servidor no contexto da conta de serviço.

A questão, que afeta as versões anteriores do Novi Survey à 8.9.43676, foi abordada pelo provedor com sede em Boston no início desta semana, em 10 de abril de 2023.

Atualmente, não se sabe como a falha está sendo explorada em ataques do mundo real.

Para combater os riscos apresentados pelas vulnerabilidades, as agências do ramo executivo civil federal dos EUA são orientadas a aplicar patches necessários até 4 de maio de 2023.

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...