Zero-Day: Pinduoduo konnte Daten stehlen und Malware installieren

Die chinesische Android-App Pinduoduo hat eine Zero-Day-Schwachstelle missbraucht, was ihr den Diebstahl von Daten oder die Installation von Malware und somit die Kompromittierung des Android-Geräts ermöglichte. Google hat die Schwachstelle mit den März-Updates für Android zwar geschlossen, bis zu deren Auslieferung gilt der Fehler jedoch als Zero-Day-Lücke. Jetzt hat auch die US-Cyber-Sicherheitsbehörde CISA darauf reagiert.

Die oberste IT-Sicherheitsbehörde der USA, die CISA, hat die Lücke Ende vergangener Woche in den Known-Exploited-Vulnerabilities-Katalog aufgenommen: Die Android-Sicherheitslücke wird aktiv in freier Wildbahn angegriffen. US-Behörden müssen die Schwachstelle daher bis zum 04.05.2023 abdichten. Das dürfte bei der Update-Politik mancher Android-Smartphone-Hersteller ein schwieriges Unterfangen sein.

Android-Zero-Day-Lücke: Chinesische App suspendiert

Google hatte die App Pinduoduo gegen Ende März suspendiert, da der Verdacht auf Malware bestand. Insbesondere Varianten der Pinduoduo-Apps, die außerhalb des Google-Play-Stores bezogen wurden, seien von Malware betroffen, berichtete Bloomberg zu der Zeit. Chinesische Sicherheitsforscher hätten herausgefunden, dass die Android-Apps des Herstellers Pinduoduo Spyware enthielten.

Später haben IT-Forscher von Lookout die Apps analysiert und gegenüber Arstechnica bestätigt, dass mindestens zwei Varianten von Pinduoduo, die außerhalb des Play-Stores veröffentlicht wurden, die Sicherheitslücke CVE-2023-20963 (CVSS 7.4, Risiko "hoch") missbrauchen; die Schwachstelle ermöglicht die Ausweitung der Rechte des Nutzers ohne Nutzerinteraktion. Google hat sie am März-Patchday abgedichtet. Später haben die Entwickler die Patchday-Übersicht um den Hinweis ergänzt, dass es Anzeichen gebe, dass CVE-2023-20963 begrenzt und gezielt missbraucht werde.

Die App nutzte diese Berechtigungen, um Code von einer für Entwickler bestimmten Webseite herunterzuladen und in der privilegierten Umgebung auszuführen, schreibt Arstechnica. Einer der Lookout-Analysten erklärte: "In den vergangenen Jahren wurden Exploits in der Regel nicht im Kontext mit massenhaft verbreiteten Apps gesehen. Aufgrund der extrem übergriffigen Natur solcher fortschrittlichen App-basierten Malware handelt es sich um eine wichtige Bedrohung, vor der sich mobile Nutzer schützen sollten."

Google konnte den Hersteller der App, PDD Holdings, nicht mit der Malware in Verbindung bringen. Der bösartige Bestandteil der App ist nicht digital signiert. Neben dem Missbrauch der Android-Zero-Day-Lücke konnte die App offenbar jedoch auf infizierten Geräten Widgets hinzufügen, Nutzungsstatistiken installierter Apps auslesen, Benachrichtigungen ausforschen sowie auf WLAN- und Ortungs-Informationen zugreifen. Die Analyse ist damit jedoch noch nicht abgeschlossen.

Aktiv missbrauchte Android-Exploits

Dass Cyberkriminelle Schwachstellen in Software angreifen, ist erwartbar. Die von der CISA in den Known-Exploited-Vulnerabilities-Katalog aufgenommenen Sicherheitslücken betreffen in der Regel jedoch PC- und Server-Software. Dass eine Android-Schwachstelle dort landet, ist selten. Während es für PC- und Server-Software normalerweise Updates gibt, die die Lücken stopfen, gibt es auf dem fragmentierten Android-Smartphone- und -Tablet-Markt viele Geräte, die auf alten Firmware-Ständen hängen bleiben.

Es ist daher empfehlenswert, alte Geräte, für die es keine Sicherheitsupdates oder alternative Firmwares mit Sicherheitsaktualisierungen mehr gibt, durch aktuelle Geräte mit Herstellerunterstützung zu ersetzen. Andernfalls laufen Besitzer solcher Smartphones Gefahr, Opfer eines Angriffs zu werden, bei dem Cyberkriminelle sich tief im System verankern können.

(dmk)