Una de las principales agencias de seguridad de Estados Unidos ha dado de plazo hasta el 4 de mayo para que el gobierno parchee una vulnerabilidad de día cero supuestamente aprovechada por una aplicación de comercio electrónico para espiar a los usuarios.
A finales de la semana pasada, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) incluyó la vulnerabilidad CVE-2023-20963 en su Catálogo de Vulnerabilidades Explotadas Conocidas.
La vulnerabilidad de alta gravedad fue parcheada por Google el mes pasado después de que la firma dijera que podría estar bajo «explotación limitada y dirigida».
Más información sobre aplicaciones Android maliciosas aquí: Aplicaciones Android maliciosas se venden por hasta 20.000 dólares en la Darknet.
CISA explicó que el error permite a los atacantes escalar privilegios en los dispositivos de destino sin la interacción del usuario.
La empresa de seguridad móvil Lookout confirmó a finales del mes pasado que la vulnerabilidad, que tiene una puntuación CVSS de 7,8, estaba siendo explotada por versiones maliciosas de la aplicación para Android Pinduoduo. Al menos dos versiones de la popular aplicación china de comercio electrónico disponibles en tiendas de aplicaciones de terceros eran las culpables.
Según los investigadores, esto podría haber permitido a los autores de la amenaza controlar de forma encubierta y remota millones de dispositivos, robar datos e instalar malware adicional.
Con más de 750 millones de usuarios activos mensuales, Pinduoduo es uno de los destinos más populares del mundo para las compras en línea. La empresa ha negado que su software sea malicioso, a pesar de que las dos aplicaciones analizadas por los investigadores estaban aparentemente firmadas con una clave oficial.
La aplicación Pinduoduo ha sido retirada temporalmente de la tienda oficial Play, pero la mayoría de los consumidores chinos confían en tiendas de aplicaciones de terceros para obtener sus descargas de Android.
Aunque el catálogo CISA de vulnerabilidades conocidas está diseñado para obligar a las agencias gubernamentales federales a mejorar los procesos de aplicación de parches, también se recomienda encarecidamente que las empresas privadas utilicen la misma herramienta para ayudar a priorizar sus esfuerzos en este ámbito.
