美国国家信息安全中心（CISA）警告称，中国应用程序利用 Android 漏洞来窥探用户。

美国网络安全和基础设施安全局 (CISA) 今天警告称，中国电子商务应用程序拼多多利用一个高危 Android 漏洞作为零日漏洞来监视其用户。

此 Android Framework 安全漏洞（跟踪为CVE-2023-20963）允许攻击者在未打补丁的 Android 设备上提升权限，而无需用户交互。

“Android Framework 包含一个未指明的漏洞，该漏洞允许在将应用程序更新到更高的 Target SDK 后进行权限提升，而无需额外的执行权限，”CISA 解释说。

谷歌解决了 3 月初发布的安全更新中的漏洞，称“有迹象表明 CVE-2023-20963 可能受到有限的、有针对性的利用。”

3 月 21 日，谷歌 在 Play 商店中发现中国在线零售商巨头拼多多（声称拥有超过 7.5 亿月活跃用户）的官方购物应用程序后，在该应用程序的非 Play 版本中发现恶意软件，并将其标记为有害应用程序并警告用户它可能允许“未经授权的访问”他们的数据或设备。

几天后，卡巴斯基研究人员还透露，他们发现了该应用程序的多个版本利用 Android 漏洞（根据 Ars Technica ，其中一个漏洞是 CVE-2023-20963 ）进行权限升级并安装旨在监视用户的额外模块。

卡巴斯基安全研究员 Igor Golovin 告诉彭博社：“拼多多应用程序的某些版本包含恶意代码，这些代码利用已知的 Android 漏洞来提升权限、下载和执行其他恶意模块，其中一些模块还获得了访问用户通知和文件的权限。 ”

联邦机构下令在三周内修补
美国联邦民事行政分支机构 (FCEB) 机构必须在 5 月 4 日之前保护其设备免受 CISA 在周四添加到其已知利用漏洞列表中的 CVE-2023-20963 漏洞的侵害。

根据2021 年 11 月起具有约束力的操作指令(BOD 22-01)，联邦机构必须检查并修复其网络中包含在 CISA 的 KEV 目录中的所有安全漏洞。

即使该目录主要针对美国联邦机构，也强烈建议私营公司也优先处理 CISA 目录中的漏洞。

“这些类型的漏洞是恶意网络行为者的常见攻击媒介，并对联邦企业构成重大风险，”美国网络安全机构表示。

周一，CISA 还命令联邦机构在 5 月 1 日之前为 iPhone 和 Mac 修补两个在野外被利用为零日的安全漏洞。