Yeni bir rapor, Çin’in büyük bir alışveriş uygulaması olan Pinduoduo’nun kendi ayrıcalıklarını yükseltmek ve kişisel verileri çalmak için Android işletim sistemindeki sıfır gün güvenlik açığından yararlandığını iddia etti. (yeni sekmede açılır) virüslü uç noktalardan ve kötü amaçlı uygulamaları yükleyin.
İddialar, uygulamanın hala Çin’deki yerel bir uygulama mağazası aracılığıyla dağıtılan “önceki sürümlerini” analiz eden ve arka kapılar yüklemek için bir kusurdan yararlandığı sonucuna varan siber güvenlik uzmanları Kaspersky de dahil olmak üzere birçok kaynak tarafından doğrulandı.
Kaspersky güvenlik araştırmacısı Igor Golovin, “Pinduoduo uygulamasının bazı sürümleri, ayrıcalıkları artırmak, ek kötü amaçlı modüller indirmek ve yürütmek için bilinen Android güvenlik açıklarından yararlanan kötü amaçlı kod içeriyordu, bunlardan bazıları ayrıca kullanıcıların bildirimlerine ve dosyalarına erişim sağladı” dedi. Bloomberg.
Pinduoduo güvenliği
Google ve Android’in ikisi de Çin’de mevcut değil, yani Play Store da orada mevcut değil.
Fakat, Ars Techica (yeni sekmede açılır) Pinduoduo’nun hem Play Store’da hem de Apple Store’da bulunabilen sürümlerinin temiz olduğunu bildiriyor. Yine de Google, geçen hafta onu uygulama deposundan çıkardı ve kullanıcılarını varsa kaldırmaya çağırdı.
Bloomberg’in bildirdiğine göre duyuru, uygulamayı “zararlı” olarak nitelendirdi ve kullanıcılarına verilerinin ve cihazlarının risk altında olduğunu söyledi. Uygulamanın arkasındaki şirket olan PDD, herhangi bir yanlış yapmayı reddetti ve uygulamaların temiz olduğunu söyledi.
Şirket, ArsTechnica’ya bir e-posta ile “Pinduoduo uygulamasının anonim bir araştırmacı tarafından kötü niyetli olduğu yönündeki spekülasyonları ve suçlamaları şiddetle reddediyoruz” dedi. “Google Play, 21 Mart sabahı bize Pinduoduo APP’nin ve diğer birçok uygulamanın mevcut sürüm Google’ın Politikasına uygun olmadığı için geçici olarak askıya alındığını bildirdi, ancak daha fazla ayrıntı paylaşmadı. Daha fazla bilgi için Google ile iletişim halindeyiz.”
Lookout’un ilk analizi, uygulamanın en az iki sürümünün, yaklaşık iki hafta önce yamalanan ve CVE-2023-20963 olarak izlenen bir kusurdan yararlandığı yönünde. Bu, Google’ın varlığını kamuya açıklamadan önce istismar edilen bir ayrıcalık artışıdır.
Lookout’tan Christoph Hebeisen’e göre bu, “uygulama tabanlı bir kötü amaçlı yazılım için çok karmaşık bir saldırı”. “Son yıllarda, istismarlar genellikle toplu olarak dağıtılan uygulamalar bağlamında görülmedi. Bu tür karmaşık uygulama tabanlı kötü amaçlı yazılımların son derece müdahaleci doğası göz önüne alındığında, bu, mobil kullanıcıların korunmaları gereken önemli bir tehdittir.”
Aracılığıyla: Bloomberg (yeni sekmede açılır)
