Android 零日漏洞影响数百万设备

关键要点

• 在中国电商应用程序 Pinduoduo 中发现了影响数百万 Android 设备的零日漏洞。
• 美国网络安全和基础设施安全局 (CISA) 已将此漏洞列入已知利用漏洞目录。
• 该漏洞编号为 CVE-2023-20963，属于高严重性特权升级缺陷；影响 Android 11、12、12L 和 13。
• 研究表明，很多受害者位于中国之外，包括美国。
• Android 设备的安全问题日益加剧，用户行为和设备安全特性决定了设备的安全性。

近期，美国网络安全和基础设施安全局（CISA）新增了一个零日漏洞，影响了数百万台通过中国电商应用 Pinduoduo 使用的 Android设备。此漏洞使得恶意软件能够控制设备、获取用户数据并安装其他软件，极大地威胁了用户的隐私和安全。

关于该漏洞的细节，CISA 此次的更新受到媒体报道和安全研究人员确认其真实性的推动。根据
的报告，研究人员表示此应用可能已经控制了大量设备。

具体来说，该漏洞编号为 ，其严重性评级为 7.8（高）。受影响的 Android 系统版本包括
Android 11、Android 12、Android 12L 和 Android 13。CISA建议安全团队应立即安装补丁，民用联邦机构也需要在两周内解决此漏洞。

Pinduoduo 应用的下架正值美国和中国因 TikTok 等社交媒体应用的安全问题而紧张局势升级之时，一些美国立法者和情报官员认为 TikTok可能构成安全威胁。

CISA 将 CVE-2023-20963 列入已知利用漏洞（KEV）清单，证实了此漏洞在实战中的利用情况。据 Lookout 的威胁情报研究员
Justin Albrecht 表示，根据 Lookout 的遥测数据，很多受害者位于中国以外的地方，包括美国。

Albrecht还指出，通过利用该漏洞获得的权限，让恶意代码能够安装应用、授予权限（例如，无需用户互动即可访问通知内容）、删除应用、使用户无法删除某些应用、感染设备上现有的第三方应用以及访问和操控私人数据。

“iOS 和 Android 的漏洞利用情况依然在增长，” Albrecht 说。 “最近 Citizen Lab 和 Microsoft 对
的 Reign
恶意软件的报道强调了国家如何依赖这些漏洞进行间谍活动，非常令人担忧。”

Viakoo 首席执行官 Bud Broomhead 进一步分析，Android 手机是植入恶意程序的良好场所，形成一个机器人大军。他表示，Android设备拥有良好的存储、处理和内存能力，且分布广泛，多个制造商需要对漏洞进行补丁处理，这使得用户的响应更为重要。Broomhead 认为 Pinduoduo的供应商未能主动警告用户，这对缩短漏洞利用时间至关重要。

“与 Apple 设备不同，修复工作由单一实体管理，Android 设备则需要各个制造商提供补丁解决问题，即便是更新或者移除应用程序也不能完全消除漏洞。”
Broomhead 说道。

Approov 的首席执行官 Ted Miracco 提到，近期在 Android设备中发现的零日漏洞引起了对其安全性的关注。他指出，虽然零日漏洞往往非常危险，但无论是 iOS 还是 Android设备，都无法完全避免零日漏洞的威胁。Apple 最近宣布对影响 iPhone、iPad 和 Mac 的
进行了修复，也被纳入了 CISA 的 KEV 目录。

Miracco 进一步补充道，iOS 的封闭系统可能使得安全研究人员更难