Hızla büyüyen e-ticaret uygulaması Pinduoduo'da bir EvilParcel kaçak yolcusu vardı.
Çin'in üçüncü en büyük e-ticaret şirketi tarafından dijital olarak imzalanan Android uygulamalarının, kişisel verileri çalmak ve kötü amaçlı uygulamalar yüklemek için milyonlarca son kullanıcı cihazının kontrolünü el altından ele geçirmelerine izin veren sıfırıncı gün güvenlik açığından yararlandığı güvenlik firması Lookout'tan araştırmacılar tarafından doğrulandı.
Pinduoduo uygulamasının kötü amaçlı sürümleri, resmi Google Play pazarının yasak olması veya erişimin kolay olmaması nedeniyle Çin'deki ve diğer yerlerdeki kullanıcıların güvendiği üçüncü taraf pazarlarda mevcuttu. Play'de veya Apple'ın App Store'unda kötü amaçlı sürüm bulunamadı. Geçen Pazartesi TechCrunch, Google'ın uygulamanın başka bir yerde bulunan kötü amaçlı bir sürümünü keşfetmesinin ardından Pinduoduo'nun Play'den çekildiğini bildirdi. TechCrunch, üçüncü taraf pazarlarda bulunan kötü amaçlı uygulamaların, bir satıcının bir yama kullanıma sunmasından önce bilinen veya yararlanılan birkaç sıfır gün, güvenlik açıklarından yararlandığını bildirdi.
Sofistike saldırı
Lookout tarafından yapılan bir ön analiz, Android için Pinduoduo'nun en az iki Play dışı sürümünün, Google'ın iki hafta önce son kullanıcılara sunulan güncellemelerde yamaladığı bir Android güvenlik açığının takip numarası olan CVE-2023-20963'ten yararlandığını buldu. Google'ın ifşasından önce istismar edilen bu ayrıcalık yükseltme kusuru, uygulamanın yükseltilmiş ayrıcalıklarla işlemler gerçekleştirmesine izin verdi. Uygulama, geliştirici tarafından belirlenen bir siteden kod indirmek ve ayrıcalıklı bir ortamda çalıştırmak için bu ayrıcalıkları kullandı.
Dosyayı analiz eden üç Lookout araştırmacısından biri olan Christoph Hebeisen, bir e-postada, kötü amaçlı uygulamaların "uygulama tabanlı bir kötü amaçlı yazılım için çok karmaşık bir saldırıyı" temsil ettiğini yazdı. "Son yıllarda, istismarlar genellikle toplu olarak dağıtılan uygulamalar bağlamında görülmedi. Bu tür karmaşık uygulama tabanlı kötü amaçlı yazılımların son derece müdahaleci doğası göz önüne alındığında, bu, mobil kullanıcıların korunmaları gereken önemli bir tehdittir."
Hebeisen'e Lookout araştırmacıları Eugene Kolodenker ve Paul Shunk yardım etti. Araştırmacı, Lookout'un analizinin hızlandırıldığını ve daha kapsamlı bir incelemenin uygulamada daha fazla güvenlik açığı bulabileceğini ekledi.
Pinduoduo, alıcıları ve satıcıları birbirine bağlayan bir e-ticaret uygulamasıdır. Son zamanlarda aylık ortalama 751,3 milyon aktif kullanıcıya sahip olduğu bildirildi. Pinduoduo'nun halka açık ana şirketi olan PDD Holdings, Çinli rakipleri Alibaba ve JD.com'dan hâlâ daha küçük olsa da, o ülkedeki en hızlı büyüyen e-ticaret şirketi haline geldi.
Google, Pinduoduo'yu Play'den kaldırdıktan sonra, PDD Holdings temsilcileri, uygulama sürümlerinden herhangi birinin kötü amaçlı olduğu iddialarını yalanladı.
Bir e-postada "Pinduoduo uygulamasının kötü amaçlı olduğu yönündeki spekülasyonları ve suçlamaları isimsiz bir araştırmacı tarafından şiddetle reddediyoruz" diye yazdılar. "Google Play, 21 Mart sabahı bize Pinduoduo APP'nin ve diğer birçok uygulamanın mevcut sürüm Google'ın Politikasına uygun olmadığı için geçici olarak askıya alındığını bildirdi, ancak daha fazla ayrıntı paylaşmadı. Daha fazla bilgi için Google ile iletişim halindeyiz.”
Şirket temsilcileri, takip soruları soran ve Lookout'un adli tıp analizinin sonuçlarını açıklayan e-postalara yanıt vermedi.
Pinduoduo uygulamasıyla ilgili şüpheler, ilk olarak geçen ay kendisine Dark Navy adını veren bir araştırma hizmetinden gelen bir gönderide (İngilizce çevirisi burada) ortaya çıktı.
İngilizce çeviri, "tanınmış İnternet üreticilerinin, Android OEM ile ilgili yeni güvenlik açıklarını ortaya çıkarmaya ve halka açık uygulamalarında mevcut pazardaki ana akım cep telefonu sistemlerine güvenlik açığı saldırıları uygulamaya devam edeceğini" söyledi. Gönderi, şirketin veya uygulamanın adını vermedi, ancak uygulamanın "son yıllarda bilinmeyen görünen bir paket feng shui-Android paket serileştirme ve seri hale getirme [istismar] kullandığını" söyledi. Gönderi, kötü amaçlı olduğu iddia edilen uygulamada bulunan birkaç kod parçacığını içeriyordu. Bu dizilerden biri "LuciferStrategy".
Birkaç hafta sonra, davinci1012 kullanıcı adına sahip biri, "Pinduoduo arka kapı" olarak tercüme edilen bir Github gönderisi yayınladı. Dark Navy postasına atıfta bulundu ve araştırmacıların anti-analiz savunmalarını delmek ve 5 Mart'tan önce yayınlanan Pinduoduo Android uygulamalarında iddia edilen bir istismarı bulmak için takip edebilecekleri kod ve adımlar sağladı. Birkaç gün sonra bir takip Github gönderisi daha da fazla ayrıntı içeriyordu. Pinduoduo uygulamalarındaki kötü amaçlı işlevleri gösterdiğini iddia eden. Google, ikinci davinci1012 gönderisinin yayınlanmasından birkaç gün sonra Pinduoduo uygulamasını Play'den kaldırdı.
Lookout'un 5 Mart'tan önce yayınlanan iki Pinduoduo APK uygulama örneğine ilişkin adli tıp analizi - biri SHA256 şifreleme imzasına sahip
3c5a0eba055633f0444b9f69ae70dc93938ecb6b5df34d8e677c96d7c77f113f
ve diğer
234aa7a4a70026e0585a3bf2acae1cb21d414aeb6f3d76955e92e445de998944
her ikisinin de CVE-2023-20963'ten yararlanan kötü amaçlı kod içerdiğini belirledi; bu güvenlik açığı, 6 Mart'a kadar halka açık olmayacak ve kullanıcı cihazlarına iki haftaya kadar yama uygulanmayacak. Bu kötü niyetli APK'ların her ikisi de, Google Play'de bulunan zararsız Pinduoduo uygulamasını imzalamak için kullanılan aynı özel imzalama anahtarıyla imzalandı.
DarkNavy gönderisine göre, kötü niyetli Pinduoduo uygulaması, uygulamanın kaldırılma yeteneği olmadan gizlice yüklenmesine olanak tanıyan, Pinduoduo'nun günlük aktif kullanıcılarının ve aylık aktif kullanıcı sayısını yanlış bir şekilde şişiren, rakip uygulamaları kaldıran, kullanıcı gizlilik verilerini çalan işlevsellik içerir. ve çeşitli gizlilik uyumluluğu düzenlemelerinden kaçınmak.
Dark Navy ve davinci1012 haklı çıktı
Lookout'un analizi, iki Pinduoduo uygulama örneğinin tüm ilgili teknik yönlerini incelemek için yeterli olmayan iki günlük bir süre içinde gerçekleştirildi. Analizi daha da karmaşık hale getiren, internetten ikinci aşama bir yükün indirilmesidir. Bu aşama dijital olarak imzalanmadığından Lookout bunu PDD Holdings'e atfedemedi.
Bununla birlikte, analiz, Kara Donanma yazısının doğruluğunu onaylıyor gibi görünüyor. Android Zero-Day'in varlığını belirlemenin yanı sıra, aşağıdakilere ilişkin kanıtları da ortaya çıkardı:
- Virüslü cihazlara widget ekleme
- Yüklü uygulamaların kullanım istatistiklerini izleme
- Bildirimleri ayrıştırma
- Wi-Fi ve Konum bilgilerine erişme
- Hebeisen,
Başka tutarlılıklar da var. Birincisi, Dark Navy gönderisinde gösterilen "LuciferStrategy" dizesi, Lookout'un analiz ettiği örneklerde görünüyor. Ek olarak, analiz edilen istismar zinciri, 2012'den beri kullanımda olan ayrıcalık yükseltme güvenlik açıkları için bir istismar sınıfı olan EvilParcel'i kullanıyor. Dark Navy, uygulama tarafından istismar edilen sıfır günü "bir feng shui-Android paket serileştirme ve seri kaldırma" olarak tanımladı. istismar, (çeviriye izin vererek) EvilParcel'in özünü doğru bir şekilde yakalayan bir açıklama.
Lookout'tan Kolodenker, "EvilParcel istismarları, CVE-2023-20963'ün de aralarında bulunduğu, ilgili bir dizi güvenlik açığını hedefleyen bir istismar sınıfıdır." . Ancak, bu düzeltme artık EvilParcel ile atlanabilir.”
Dark Navy gönderisi, Google'ın Samsung telefonlarında istismar edildiğini keşfettiği CVE-2021-25337 olarak izlenen başka bir Android sıfır gününe atıfta bulunuyor. Kötü amaçlı Pinduoduo uygulamasının bu güvenlik açığından yararlandığına dair hiçbir gösterge yoktur.
Resmi anahtarla imzalanmış en az iki Pinduoduo uygulama örneğinde sıfır gün istismar kodunun göründüğüne dair çok az şüphe olsa da, birkaç olası sonuç vardır. Kod şu nedenlerle mevcut olabilir:
- Pinduoduo geliştiricileri tarafından kasıtlı olarak kötü amaçlı kod dağıtımı
- Kötü niyetli bir içeriden birinin işi
- Bir dış tarafça elde edilen sızdırılmış bir gizli anahtar
- Pinduoduo uygulaması için yazılım oluşturma sistemini tehlikeye atan bir tedarik zinciri saldırısı
Bu koşullar altında, Pinduoduo'nun Google Play'den kaldırılması garanti edilmiş görünüyor.
Play'de veya App Store'da kötü amaçlı sürümler olduğuna dair bir kanıt olmadığından, uygulamalarını bu kaynaklardan herhangi birinden alan Pinduoduo kullanıcıları etkilenmez. Çin'deki hemen hemen herkesin yaptığı gibi, uygulamalarını üçüncü taraf bir pazardan edinen Android kullanıcıları o kadar şanslı değil. Pinduoduo'nun kaç tane üçüncü taraf indirmeye sahip olduğu bilinmiyor, ancak uygulamanın geniş erişimi göz önüne alındığında, sayı yüz milyonlarca olmasa da kesinlikle milyonları buluyor.
Tags:
Bilgi Teknolojisi