أكد باحثون من شركة الأمن Lookout أن تطبيقات Android الموقعة رقميًا من قبل ثالث أكبر شركة للتجارة الإلكترونية في الصين استغلت ثغرة يوم الصفر التي سمحت لها بالتحكم خلسة في ملايين أجهزة المستخدم النهائي لسرقة البيانات الشخصية وتثبيت التطبيقات الضارة.
كانت الإصدارات الخبيثة من تطبيق Pinduoduo متاحة في أسواق الجهات الخارجية ، والتي يعتمد عليها المستخدمون في الصين وأماكن أخرى لأن سوق Google Play الرسمي محظور أو ليس من السهل الوصول إليه. لم يتم العثور على إصدارات ضارة في Play أو متجر تطبيقات Apple. ذكرت TechCrunch يوم الاثنين الماضي ، أنه تم سحب Pinduoduo من Play بعد أن اكتشفت Google إصدارًا ضارًا من التطبيق متاحًا في مكان آخر. أبلغت TechCrunch عن أن التطبيقات الضارة المتوفرة في أسواق الجهات الخارجية استغلت عدة أيام صفر ، وهي نقاط ضعف معروفة أو تم استغلالها قبل أن يتوفر لدى البائع تصحيح.
هجوم متطور
وجد تحليل أولي أجراه Lookout أن إصدارين على الأقل من Pinduoduo لنظام التشغيل Android استغلوا CVE-2023-20963 ، وهو رقم التتبع لثغرة أمنية في نظام Android تم تصحيحه بواسطة Google في التحديثات التي أصبحت متاحة للمستخدمين النهائيين قبل أسبوعين. عيب تصعيد الامتياز هذا ، الذي تم استغلاله قبل إفشاء Google ، سمح للتطبيق بإجراء عمليات بامتيازات مرتفعة. استخدم التطبيق هذه الامتيازات لتنزيل التعليمات البرمجية من موقع مخصص للمطور وتشغيله في بيئة مميزة.
تمثل التطبيقات الضارة “هجومًا معقدًا للغاية لبرامج ضارة قائمة على التطبيق” ، كتب كريستوف هيبايزن ، أحد الباحثين الثلاثة في Lookout الذين حللوا الملف ، في رسالة بريد إلكتروني. “في السنوات الأخيرة ، لم تتم عادةً مشاهدة عمليات الاستغلال في سياق التطبيقات الموزعة على نطاق واسع. نظرًا للطبيعة التطفلية للغاية لمثل هذه البرامج الضارة المستندة إلى التطبيقات المعقدة ، فإن هذا يمثل تهديدًا مهمًا يحتاج مستخدمو الأجهزة المحمولة للحماية منه “.
وساعد هيبيزن باحثي المرصد يوجين كولودنكر وبول شانك. وأضاف الباحث أن تحليل Lookout قد تم توسيعه وأنه من المحتمل أن تجد مراجعة أكثر شمولاً المزيد من الثغرات في التطبيق.
Pinduoduo هو تطبيق للتجارة الإلكترونية لربط المشترين والبائعين. تم الإبلاغ مؤخرًا عن وجود 751.3 مليون مستخدم نشط شهريًا في المتوسط. في حين أنها لا تزال أصغر من منافسيها الصينيين Alibaba و JD.com ، أصبحت PDD Holdings ، الشركة الأم المتداولة علنًا لشركة Pinduoduo ، شركة التجارة الإلكترونية الأسرع نموًا في ذلك البلد.
بعد أن قامت Google بإزالة Pinduoduo من Play ، نفى ممثلو PDD Holdings الادعاءات بأن أيًا من إصدارات التطبيق الخاصة بها كانت ضارة.
وكتبوا في رسالة بالبريد الإلكتروني: “نحن نرفض بشدة التكهنات والاتهام بأن تطبيق Pinduoduo ضار من باحث مجهول”. “أبلغنا Google Play صباح يوم 21 مارس أن تطبيق Pinduoduo ، من بين العديد من التطبيقات الأخرى ، قد تم تعليقه مؤقتًا لأن الإصدار الحالي لا يتوافق مع سياسة Google ، ولكنه لم يشارك المزيد من التفاصيل. نحن نتواصل مع Google للحصول على مزيد من المعلومات “.
لم يرد ممثلو الشركة على رسائل البريد الإلكتروني التي طرحت أسئلة متابعة وكشفوا عن نتائج تحليل لوك آوت الجنائي.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.