Federale Amerikaanse overheidsinstanties waarvan het personeel een Androidtelefoon heeft moeten een zerodaylek in het besturingssysteem, dat door een Chinese shopping-app Pinduoduo werd gebruikt, voor 4 mei op alle toestellen hebben gepatcht. Dat heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Online retailer Pinduoduo claimt 824 miljoen klanten te hebben. Vorige maand werd bekend dat Google de Pinduoduo-app wegens veiligheidszorgen uit de Play Store had verwijderd. Volgens het techbedrijf bleken verschillende versies van de app die buiten de Play Store werden aangeboden malware te bevatten. Daarbij zou de app van een reeks kwetsbaarheden gebruikmaken om zo kernelrechten te krijgen en willekeurige bestanden op de telefoon te lezen, waaronder die van andere apps.

In eerste instantie werd gemeld dat het om verschillende kwetsbaarheden ging die eerder bij zeroday-aanvallen tegen Samsung-telefoons waren gebruikt. Later bleek dat de app ook een zeroday in Android gebruikt, aangeduid als CVE-2023-20963, waardoor het hogere rechten kan krijgen. Zo kan de app concurrerende apps verwijderen, gegevens van gebruikers stelen, privacyregelgeving omzeilen en zichzelf heimelijk installeren, zonder optie om te worden verwijderd. Hierdoor zou het aantal gebruikers van de app kunstmatig hoog worden gehouden.

Google kwam in maart met een beveiligingsupdate voor de kwetsbaarheid, die op dat moment al door de Pinduoduo-app werd misbruikt. Ook werd de app uit de Google Play Store verwijderd. De patch is alleen beschikbaar gemaakt voor Android 11, 12, 12L, 13. Of andere versies kwetsbaar zijn is onbekend, aangezien Google die niet meer ondersteund.

Het CISA houdt een lijst van actief aangevallen kwetsbaarheden bij en heeft de bevoegdheid om federale Amerikaanse overheidsinstanties op te dragen updates voor deze beveiligingslekken voor een bepaalde datum te installeren. CVE-2023-20963 is nu ook aan de lijst toegevoegd.