Getty Images
אפליקציות אנדרואיד שנחתמו דיגיטלית על ידי חברת המסחר האלקטרוני השלישית בגודלה בסין ניצלו פגיעות של יום אפס שאפשרה להן בחשאי להשתלט על מיליוני מכשירי קצה כדי לגנוב נתונים אישיים ולהתקין אפליקציות זדוניות, כך חוקרים מחברת האבטחה Lookout מְאוּשָׁר.
הגרסאות הזדוניות של אפליקציית Pinduoduo היו זמינות בשווקי צד שלישי, שבהם משתמשים סין ומקומות אחרים מסתמכים על כי השוק הרשמי של Google Play אינו מוגבל או לא קל גִישָׁה. לא נמצאו גרסאות זדוניות ב-Play או ב-App Store של אפל. ביום שני האחרון, דיווח TechCrunch ש-Pinduoduo נמשה מ-Play לאחר שגוגל גילתה גרסה זדונית של האפליקציה הזמינה במקום אחר. TechCrunch דיווחה שהאפליקציות הזדוניות הזמינות בשווקי צד שלישי ניצלו מספר ימים אפס, נקודות תורפה ידועות או מנוצלות לפני שלספק יש תיקון זמין.
התקפה מתוחכמת
ניתוח ראשוני של Lookout מצא שלפחות שתי גרסאות מחוץ להפעלה של Pinduoduo עבור אנדרואיד ניצלו את CVE-2023-20963, מספר המעקב עבור פגיעות אנדרואיד גוגל תיקן בעדכונים שהפכו זמינים למשתמשי קצה לפני שבועיים. פגם הסלמה הרשאות זה, אשר נוצל לפני החשיפה של גוגל, אפשר לאפליקציה לבצע פעולות עם הרשאות גבוהות. האפליקציה השתמשה בהרשאות אלו כדי להוריד קוד מאתר המיועד למפתחים ולהפעיל אותו בתוך סביבה מיוחסת.
האפליקציות הזדוניות מייצגות "מתקפה מתוחכמת מאוד עבור תוכנה זדונית מבוססת אפליקציה", כתב באימייל כריסטוף הבייזן, אחד משלושת חוקרי Lookout שניתחו את הקובץ. "בשנים האחרונות, ניצולים לא נראו בדרך כלל בהקשר של אפליקציות המופצות בהמוניות. בהתחשב באופי הפולשני ביותר של תוכנות זדוניות כה מתוחכמות מבוססות אפליקציות, זהו איום חשוב שמשתמשים ניידים צריכים להגן מפניו."
הביייזן נעזר בחוקרי Lookout יוג'ין קולודנקר ופול שאנק. החוקר הוסיף כי הניתוח של Lookout הואץ וכי סקירה יסודית יותר תמצא ככל הנראה ניצולים נוספים באפליקציה.
Pinduoduo היא אפליקציית מסחר אלקטרוני לחיבור בין קונים ומוכרים. זה לאחרונה דווח ל-751.3 מיליון משתמשים פעילים חודשיים ממוצעים. למרות שהיא עדיין קטנה יותר מיריבותיה הסיניות עליבאבא ו-JD.com, PDD אחזקות, חברת האם הנסחרת בבורסה של Pinduoduo, הפכה לחברת המסחר האלקטרוני הצומחת ביותר באותה מדינה.
לאחר שגוגל הסירה את Pinduoduo מ-Play, נציגי PDD Holdings הכחישו את הטענות שכל אחת מגרסאות האפליקציה שלה הייתה זדונית.
"אנו דוחים בתוקף את הספקולציות וההאשמות שאפליקציית Pinduoduo היא זדונית של חוקר אנונימי", כתבו באימייל. "Google Play הודיעה לנו ב-21 במרץ בבוקר ש-Pinduoduo APP, בין כמה אפליקציות אחרות, היא הושעה זמנית מכיוון שהגרסה הנוכחית אינה תואמת למדיניות של Google, אך לא שיתפה פרטים נוספים. אנו מתקשרים עם גוגל לקבלת מידע נוסף."
נציגי החברה לא הגיבו למיילים ששאלו שאלות המשך וחשפו את תוצאות הניתוח המשפטי של Lookout.
חשדות לגבי אפליקציית Pinduoduo הופיעו לראשונה בחודש שעבר הודעה (תרגום אנגלי כאן) משירות מחקר המכנה את עצמו Dark Navy.
בתרגום לאנגלית נאמר כי "יצרני אינטרנט ידועים ימשיכו לחפור נקודות תורפה חדשות הקשורות לאנדרואיד OEM וליישם התקפות פגיעות על מערכות טלפון נייד מיינסטרים בשוק הנוכחי באפליקציות שפורסמו לציבור". הפוסט לא ציין את שם החברה או האפליקציה, אבל כן נכתב שהאפליקציה השתמשה ב"פנג צרור הסדרת חבילות של shui-Android ו-deserialization [ניצול] שנראה לא ידוע בשנים האחרונות." הפוסט כלל כמה קטעי קוד שנמצאו בזדון לכאורה אפליקציה. אחת מהמחרוזות האלה היא "Lucifer Strategy".
