Google e CISA mettono in guardia da una falla di Android dopo le segnalazioni di un exploit zero-day da parte di un’app cinese

Una vulnerabilità di Android, che sarebbe stata oggetto di uno sfruttamento zero-day da un’applicazione cinese contro milioni di dispositivi, è stata aggiunta al catalogo delle vulnerabilità sfruttate note gestito dalla Cybersecurity and Infrastructure Security Agency (CISA) statunitense dopo che Google ne ha confermato lo sfruttamento.

Il 21 marzo Google ha dichiarato di aver sospeso la popolare applicazione cinese per lo shopping Pinduoduo sul suo app store dopo che era stato scoperto un malware nelle versioni dell’applicazione distribuite attraverso altri siti web. All’epoca l’azienda cinese aveva negato le accuse.

La decisione di Google è arrivata dopo che alcuni ricercatori cinesi hanno segnalato di aver osservato comportamenti dannosi associati a Pinduoduo, accusando l’azienda di aver coinvolto i dispositivi di centinaia di milioni di utenti in una botnet.

I ricercatori sostengono che le applicazioni di Pinduoduo sfruttano le vulnerabilità specifiche di Android e degli OEM, raccolgono i dati degli utenti e delle applicazioni, implementano backdoor, installano altre applicazioni e aggirano le funzionalità di sicurezza.

Circa una settimana dopo l’annuncio di Google di aver rimosso l’app Pinduoduo, i ricercatori della società di sicurezza mobile Lookout hanno confermato per Ars Technica che l’applicazione sembra effettivamente tentare di prendere il controllo dei dispositivi, raccogliere dati e installare altro software, con milioni di dispositivi potenzialmente interessati.

Lookout ha anche scoperto che l’applicazione ha sfruttato una vulnerabilità di Android classificata come CVE-2023-20963, il cui sfruttamento è iniziato prima che Google rilasciasse una patch a marzo.

Google descrive CVE-2023-20963 come una falla ad alta gravità di escalation dei privilegi che colpisce il componente framework di Android. Il gigante di Internet ha aggiornato il bollettino di sicurezza Android di marzo 2023 per informare gli utenti che “ci sono indicazioni di un possibile sfruttamento limitato e mirato della CVE-2023-20963.”

CISA ha aggiunto la vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV), noto anche come elenco di “patch obbligatorie”, in quanto le aziende sono state fortemente sollecitate ad affrontare le falle citate. L’agenzia ha dato istruzioni alle organizzazioni governative di applicare la patch le due settimane successive.

Oltre a CVE-2023-20963, CISA ha aggiunto al suo catalogo KEV una vulnerabilità che riguarda il software di sondaggio prodotto da Novi Survey.

Novi Survey ha pubblicato un avviso per informare i clienti su CVE-2023-29492, che secondo l’azienda consente a un aggressore remoto di eseguire codice arbitrario sul server.

“La vulnerabilità non consente l’accesso ai dati dei sondaggi o delle risposte memorizzate nel sistema”, ha spiegato Novi.

Tuttavia, l’avviso pubblico non menziona nulla riguardo allo sfruttamento in-the-wild e non sembrano esserci segnalazioni di attacchi che coinvolgono la vulnerabilità.

SecurityWeek ha contattato Novi Survey per sapere se l’azienda è a conoscenza degli attacchi e se ha avvisato i clienti. Non è chiaro se l’azienda abbia avvertito privatamente i clienti della minaccia.

Google ha invitato i vendor a essere più trasparenti quando si tratta di sfruttamento delle vulnerabilità.

“I vendor dovrebbero rendere consapevoli gli utenti, i partner della catena di approvigionamento e la comunità dello stato di sfruttamento e informare le vittime in modo tempestivo attraverso la divulgazione pubblica e la sensibilizzazione diretta, ove possibile”. […] Ulteriori dettagli sulle vulnerabilità e sugli exploit dovrebbero essere condivisi per migliorare le conoscenze e le difese dei ricercatori”, ha dichiarato Google.

AGGIORNAMENTO: Novi Survey ha dichiarato a SecurityWeek che “tutte le informazioni rilevanti sono contenute nel CVE e nell’avviso pubblicato sul blog del sito”.

Fonte: SecurityWeek