Çarşamba, Haziran 19, 2024
Ana SayfaTeknoloji HaberleriÇin'den Android uygulaması, milyonlarca cihazda 0-day exploit yürüttü

Çin’den Android uygulaması, milyonlarca cihazda 0-day exploit yürüttü

Çin'den Android uygulaması, milyonlarca cihazda 0-day exploit yürüttü

Getty Resimleri

Çin’in en büyük üçüncü e-ticaret şirketi tarafından dijital olarak imzalanan Android uygulamalarının, kişisel verileri çalmak ve kötü amaçlı uygulamalar yüklemek için milyonlarca son kullanıcı cihazının kontrolünü el altından ele geçirmelerine izin veren sıfırıncı gün güvenlik açığından yararlandığı güvenlik firması Lookout’tan araştırmacılar tarafından doğrulandı.

Pinduoduo uygulamasının kötü amaçlı sürümleri, resmi Google Play pazarının yasak olması veya erişimin kolay olmaması nedeniyle Çin’deki ve diğer yerlerdeki kullanıcıların güvendiği üçüncü taraf pazarlarda mevcuttu. Play’de veya Apple’ın App Store’unda kötü amaçlı sürüm bulunamadı. Geçen Pazartesi TechCrunch, Google’ın uygulamanın başka bir yerde bulunan kötü amaçlı bir sürümünü keşfetmesinin ardından Pinduoduo’nun Play’den çekildiğini bildirdi. TechCrunch, üçüncü taraf pazarlarda bulunan kötü amaçlı uygulamaların, bir satıcının bir yama kullanıma sunmasından önce bilinen veya yararlanılan birkaç sıfır gün, güvenlik açıklarından yararlandığını bildirdi.

Sofistike saldırı

Lookout tarafından yapılan bir ön analiz, Android için Pinduoduo’nun en az iki Play dışı sürümünün, Google’ın iki hafta önce son kullanıcılara sunulan güncellemelerde yamaladığı bir Android güvenlik açığının takip numarası olan CVE-2023-20963’ten yararlandığını buldu. Google’ın ifşasından önce istismar edilen bu ayrıcalık yükseltme kusuru, uygulamanın yükseltilmiş ayrıcalıklarla işlemler gerçekleştirmesine izin verdi. Uygulama, geliştirici tarafından belirlenen bir siteden kod indirmek ve ayrıcalıklı bir ortamda çalıştırmak için bu ayrıcalıkları kullandı.

Dosyayı analiz eden üç Lookout araştırmacısından biri olan Christoph Hebeisen, bir e-postada, kötü amaçlı uygulamaların “uygulama tabanlı bir kötü amaçlı yazılım için çok karmaşık bir saldırıyı” temsil ettiğini yazdı. “Son yıllarda, istismarlar genellikle toplu olarak dağıtılan uygulamalar bağlamında görülmedi. Bu tür karmaşık uygulama tabanlı kötü amaçlı yazılımların son derece müdahaleci doğası göz önüne alındığında, bu, mobil kullanıcıların korunmaları gereken önemli bir tehdittir.”

Hebeisen’e Lookout araştırmacıları Eugene Kolodenker ve Paul Shunk yardım etti. Araştırmacı, Lookout’un analizinin hızlandırıldığını ve daha kapsamlı bir incelemenin uygulamada daha fazla güvenlik açığı bulabileceğini ekledi.

Pinduoduo, alıcıları ve satıcıları birbirine bağlayan bir e-ticaret uygulamasıdır. Son zamanlarda aylık ortalama 751,3 milyon aktif kullanıcıya sahip olduğu bildirildi. Pinduoduo’nun halka açık ana şirketi olan PDD Holdings, Çinli rakipleri Alibaba ve JD.com’dan hâlâ daha küçük olsa da, o ülkedeki en hızlı büyüyen e-ticaret şirketi haline geldi.

Google, Pinduoduo’yu Play’den kaldırdıktan sonra, PDD Holdings temsilcileri, uygulama sürümlerinden herhangi birinin kötü amaçlı olduğu iddialarını yalanladı.

Bir e-postada “Pinduoduo uygulamasının kötü amaçlı olduğu yönündeki spekülasyonları ve suçlamaları isimsiz bir araştırmacı tarafından şiddetle reddediyoruz” diye yazdılar. “Google Play, 21 Mart sabahı bize Pinduoduo APP’nin ve diğer birçok uygulamanın mevcut sürüm Google’ın Politikasına uygun olmadığı için geçici olarak askıya alındığını bildirdi, ancak daha fazla ayrıntı paylaşmadı. Daha fazla bilgi için Google ile iletişim halindeyiz.”

Şirket temsilcileri, takip soruları soran ve Lookout’un adli tıp analizinin sonuçlarını açıklayan e-postalara yanıt vermedi.

Pinduoduo uygulamasıyla ilgili şüpheler ilk olarak geçen ay bir kendisine Dark Navy adını veren bir araştırma servisinden gelen yazı (İngilizce tercümesi burada).

İngilizce çeviri, “tanınmış İnternet üreticilerinin, Android OEM ile ilgili yeni güvenlik açıklarını ortaya çıkarmaya ve halka açık uygulamalarında mevcut pazardaki ana akım cep telefonu sistemlerine güvenlik açığı saldırıları uygulamaya devam edeceğini” söyledi. Gönderi, şirketin veya uygulamanın adını vermedi, ancak uygulamanın bir “demet feng shui-Android parsel serileştirme ve seri kaldırma” kullandığını söyledi. [exploit] bu son yıllarda bilinmiyor gibi görünüyor. Gönderi, kötü amaçlı olduğu iddia edilen uygulamada bulunan birkaç kod parçacığını içeriyordu. Bu dizilerden biri “LuciferStrategy”.

RELATED ARTICLES

Popüler Konular