La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado<\/a> dos vulnerabilidades a su cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV), basado en evidencia de explotaci\u00f3n activa.<\/p>\n Los dos defectos se enumeran a continuaci\u00f3n:<\/p>\n “Android Framework contiene una vulnerabilidad no especificada que permite la escalada de privilegios despu\u00e9s de actualizar una aplicaci\u00f3n a un SDK de Target superior sin necesidad de privilegios de ejecuci\u00f3n adicionales”, CISA dicho<\/a> en un aviso para CVE-2023-20963.<\/p>\n Google, en su Bolet\u00edn de Seguridad Android mensual de marzo de 2023, admitido<\/a> “Hay indicios de que CVE-2023-20963 puede estar bajo explotaci\u00f3n limitada y dirigida”.<\/p>\n El desarrollo se presenta como el sitio de noticias tecnol\u00f3gicas Ars Technica. revelado<\/a> A fines del mes pasado, las aplicaciones de Android firmadas digitalmente por la empresa de comercio electr\u00f3nico de China, Pinduoduo, usaron la falla como arma para tomar el control de los dispositivos y robar datos confidenciales, citando un an\u00e1lisis de la empresa de seguridad m\u00f3vil Lookout. <\/p>\n La principal de las capacidades de la aplicaci\u00f3n con malware incluye inflar la cantidad de usuarios activos diarios y mensuales de Pinduoduo, desinstalar aplicaciones rivales, acceder a notificaciones e informaci\u00f3n de ubicaci\u00f3n, y evitar que se desinstale.<\/p>\n CNN, en un informe de seguimiento<\/a> publicado a principios de este mes, dijo que un an\u00e1lisis de la versi\u00f3n 6.49.0 de la aplicaci\u00f3n revel\u00f3 un c\u00f3digo dise\u00f1ado para lograr una escalada de privilegios e incluso rastrear la actividad del usuario en otras aplicaciones de compras.<\/p>\n Los exploits permitieron que la aplicaci\u00f3n maliciosa accediera a los contactos, calendarios y \u00e1lbumes de fotos de los usuarios sin su consentimiento y solicitaron una “gran cantidad de permisos m\u00e1s all\u00e1 de las funciones normales de una aplicaci\u00f3n de compras”, dijo el canal de noticias.<\/p>\n Vale la pena se\u00f1alar que Google suspendido<\/a> La aplicaci\u00f3n oficial de Pinduoduo de Play Store en marzo, citando malware identificado en “versiones fuera de Play” del software.<\/p>\n Domina el arte de la recolecci\u00f3n de inteligencia de la Dark Web<\/p>\n Aprenda el arte de extraer inteligencia de amenazas de la web oscura. \u00a1\u00danase a este seminario web dirigido por expertos!<\/p>\n Guardar mi asiento!<\/a><\/div>\n Dicho esto, todav\u00eda no est\u00e1 claro c\u00f3mo se firmaron estos archivos APK con la misma clave utilizada para firmar la aplicaci\u00f3n leg\u00edtima de Pinduoduo. Esto apunta a una fuga de clave, el trabajo de un infiltrado deshonesto, un compromiso de la canalizaci\u00f3n de compilaci\u00f3n de Pinduoduo o un intento deliberado de la empresa china de distribuir malware.<\/p>\n La segunda vulnerabilidad agregada al cat\u00e1logo de KEV se relaciona con una vulnerabilidad de deserializaci\u00f3n insegura en el software Novi Survey que permite a atacantes remotos ejecutar c\u00f3digo en el servidor en el contexto de la cuenta de servicio.<\/p>\n El problema, que afecta a las versiones de Novi Survey anteriores a la 8.9.43676, fue dirigido<\/a> por el proveedor con sede en Boston a principios de esta semana el 10 de abril de 2023. Actualmente no se sabe c\u00f3mo se abusa de la falla en los ataques del mundo real.<\/p>\n Para contrarrestar los riesgos que plantean las vulnerabilidades, se recomienda a las agencias del Poder Ejecutivo Federal Civil (FCEB) en los EE. UU. que apliquen los parches necesarios antes del 4 de mayo de 2023.<\/p>\n <\/p>\n\n