外网网页加速

美国网络安全和基础设施安全局（CISA）发布警告称，中国电子商务应用拼多多被指控利用一个高严重性Android零日漏洞监视用户。

该漏洞被追踪为CVE-2023-20963这是一个Android框架安全漏洞，攻击者可以在未打补丁的Android设备上提升权限，而无需用户交互。

在谷歌暂停拼多多应用的同时，中美两国因安全问题关系日益紧张。 CISA已将CVE-2023-20963列入已知漏洞（KEV）名单，并援引Lookout的调查结果称，中国电子商务应用利用Android框架的安全漏洞对用户进行间谍活动。

Lookout的遥测数据显示，许多受害者位于中国境外，包括美国。

该漏洞允许攻击者在没有用户交互的情况下升级权限，使恶意代码能够执行各种操作，如安装应用程序、删除应用程序以及从第三方应用程序访问私人数据。

Lookout公司的威胁情报研究人员Justin Albrecht表示，一个Android漏洞被像拼多多这样的流行应用用于获取经济利益和竞争优势，这是威胁形势发生的一个令人担忧的变化。 他补充说，利用该漏洞获得的权限可以让恶意代码安装应用程序和授予权限等。

与此同时，Viakoo首席执行官Bud Broomhead表示，安卓手机是植入机器人和组建僵尸网络大军的好地方，而拼多多的供应商并没有主动提醒用户注意这个漏洞。

Approov公司首席执行官泰德-米拉科（Ted Miracco）在最近发现Android设备存在零日漏洞后，对Android设备的安全性表示担忧。 Miracco说，虽然零日漏洞很危险，但iOS和Android设备都存在漏洞，没有哪个操作系统能幸免于此类安全威胁。 苹果公司本周早些时候宣布，它已修补了两个影响iPhone、iPad和Mac的零日漏洞，这些漏洞已被列入CISA的KEV目录。

CISA已指示联邦机构在5月1日前修补两个已被利用的零日漏洞，这两个漏洞影响到iPhone和Mac。