按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

資安廠商發現「拼多多」官方 App 利用 Android 0-day 漏洞竊取用戶機敏資訊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-03-30
  • 點閱次數:7444
資安廠商發現「拼多多」官方 App 利用 Android 0-day 漏洞竊取用戶機敏資訊 twcertcc

資安廠商 Lookout 近期發表研究報告,指出該公司旗下研究人員發現電商網站「拼多多」在第三方應用程式商店上架的官方 Android App,內含數個 0-day 漏洞;資安研究人員指出拼多多涉嫌利用這些 0-day 漏洞竊取並監控用戶。

資訊技術網站 Ars Technica 報導引用 Lookout 資安研究人員提供的資訊,指出至少有兩個非 Google、Apple 官方應用程式商店中的拼多多官方 App,含有可利用 Android 0-day 漏洞 CVE-2023-20963 的惡意程式碼。該漏洞已在本(2023)年三月初由 Google 發行的 Android 資安更新中完成修復。

Lookout 的資安研究人員指出,駭侵者可利用此漏洞來提升執行權限,並自控制伺服器中下載額外的惡意程式碼,以提升過後的權限來執行。Lookout 也指出,用以簽署兩個遭發現含有惡意程式碼拼多多官方 App APK 的私鑰,也用在該公司上傳到 Google Play Store 中不含惡意程式碼的 App 簽署。

在 Ars Technica 報導 Lookout 的發現數日之前,Google 便已接獲多個資安研究人員反應,指出包括拼多多在內的多家電子商務網站,在第三方應用程式商店上架的 App 版本均內含惡意程式碼;Google 因而在其 Android 裝置的資安防護機制 Google Play Protect 中新增對這些應用程式的阻擋,用戶將無法安裝這些 App;已安裝者也會收到刪除通知。

由於在中國境內無法存取 Google 官方 Play Store,因此拼多多 Android App 在如三星、華為、Oppo、小米等第三方應用程式商店中上架。

建議 Android 手機用戶除應盡可能避免在不明來源下載任何 App 外,也應隨時依原廠更新通知進行手機作業系統更新。

回頁首