Android曝高危提权漏洞，被某知名电商APP用于非法窃取数据

近日，美国网络安全和基础设施安全局 (CISA) 已将 2 个Android漏洞添加到其已知利用漏洞 (KEV) 目录中。

以下是该2个漏洞的基本信息：

• CVE-2023-20963（CVSS 评分：7.8）- Android 框架权限提升漏洞。
• CVE-2023-29492（CVSS 评分：待定）- Novi Survey 不安全反序列化漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Android Framework中的CVE-2023-20963漏洞，允许在将应用程序更新到更高的 Target SDK 后进行权限提升，而无需额外的执行权限。

拼多多的 Android 应用将该漏洞作为零日漏洞武器化，以夺取设备控制权并窃取敏感数据。这款带有恶意软件的拼多多应用程序的主要功能包括：夸大拼多多日活跃用户数和月活跃用户数、卸载竞争对手的应用程序、访问通知和位置信息以及防止自身被卸载等。

对该拼多多应用程序 6.49.0 版本的分析揭示了旨在实现权限升级甚至跟踪用户在其他购物应用程序上的活动的代码。这些漏洞允许恶意应用程序在未经用户同意的情况下访问用户的联系人、日历和相册，并请求超出购物应用程序正常功能的大量权限。

添加到 KEV 目录的第2个漏洞与 Novi Survey 软件中的不安全反序列化漏洞有关，该漏洞允许远程攻击者在服务帐户的上下文中在服务器上执行代码。

这个漏洞影响了 8.9.43676 之前的 Novi Survey 版本，Novi Survey已于 2023 年 4 月 10 日修复了这个漏洞。目前尚不清楚该漏洞是如何在现实世界的攻击中被滥用的。