L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde aujourd’hui contre une vulnérabilité Android de haute gravité qui aurait été exploitée par une application de commerce électronique chinoise Pinduoduo comme un jour zéro pour espionner ses utilisateurs.
Cette faille de sécurité Android Framework (suivie sous le nom de CVE-2023-20963) permet aux attaquants d’élever les privilèges sur les appareils Android non corrigés sans nécessiter d’interaction de l’utilisateur.
« Android Framework contient une vulnérabilité non spécifiée qui permet une élévation des privilèges après la mise à jour d’une application vers un SDK cible supérieur sans aucun privilège d’exécution supplémentaire nécessaire », explique CISA.
Google a corrigé le bogue dans les mises à jour de sécurité publiées début mars, affirmant qu' »il y a des indications que CVE-2023-20963 pourrait faire l’objet d’une exploitation limitée et ciblée ».
Le 21 mars, Google a suspendu l’application d’achat officielle du géant chinois de la vente en ligne Pinduoduo (qui prétend avoir plus de 750 millions d’utilisateurs actifs par mois) du Play Store après avoir découvert des logiciels malveillants dans les versions hors Play de l’application, la qualifiant d’application nuisible. et avertissant les utilisateurs qu’il pourrait autoriser un « accès non autorisé » à leurs données ou à leur appareil.
Quelques jours plus tard, les chercheurs de Kaspersky ont également révélé qu’ils avaient trouvé des versions de l’application exploitant les vulnérabilités d’Android (l’une d’elles CVE-2023-20963 selon Ars Technica) pour l’élévation des privilèges et l’installation de modules supplémentaires conçus pour espionner les utilisateurs.
« Certaines versions de l’application Pinduoduo contenaient du code malveillant, qui exploitait les vulnérabilités connues d’Android pour augmenter les privilèges, télécharger et exécuter des modules malveillants supplémentaires, dont certains avaient également accès aux notifications et aux fichiers des utilisateurs », a déclaré Igor Golovin, chercheur en sécurité chez Kaspersky, à Bloomberg.
Les agences fédérales ont reçu l’ordre de patcher dans les trois semaines
Les agences fédérales américaines de la branche exécutive civile (FCEB) ont jusqu’au 4 mai pour sécuriser leurs appareils contre la vulnérabilité CVE-2023-20963 ajoutée par la CISA à sa liste de vulnérabilités exploitées connues jeudi.
Selon la directive opérationnelle contraignante (BOD 22-01) de novembre 2021, les agences fédérales doivent vérifier et réparer leurs réseaux pour toutes les failles de sécurité incluses dans le catalogue KEV de CISA.
Même si le catalogue s’adresse principalement aux agences fédérales américaines, il est fortement conseillé aux entreprises privées de traiter également en priorité les vulnérabilités du catalogue CISA.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré l’agence américaine de cybersécurité.
Lundi, la CISA a également ordonné aux agences fédérales de corriger les iPhones et les Mac contre deux vulnérabilités de sécurité exploitées à l’état sauvage en tant que zero-day d’ici le 1er mai.