【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞

【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞子，直接内核提权，窃取竞争对手软件数据，然后给自己保活，顺手防止自己被卸载… #抽屉IT

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃取竞争对手软件数据等(pic 1)。 该App 利用 Android 系统漏洞提升权限，收集用户的隐私信息（社交媒体、位置、Wi-Fi 、基站路由器等）之后，改写系统关键配置文件为自身保活，修改用户桌面配置隐藏自身或欺骗用户实现防卸载；劫持其他应用，进行长期驻留等操作 该安卓APP被发现利用漏洞后，昨天出动公关团队在微博上删帖，同时还火速发布新版本删除了后门模块(pic 2)。 原文链接 「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 提权代码 https://github.com/davinci1010/pinduoduo_backdoor

谷歌周二在一份声明中表示，因发现拼多多未上架Play Store的外部版本包含恶意软件，为预防起见已将其下架Play Store

谷歌周二在一份声明中表示，因发现拼多多未上架Play Store的外部版本包含恶意软件，为预防起见已将其下架Play Store，且Play Protect也将拦截其安装。受此影响，拼多多美股盘前跌超2%。 谷歌在声明中并未提及拼多多的出海平台Temu，且该APP仍可在Play Store中正常下载安装。 作为回应，拼多多通过电子邮件发表声明，强烈反对关于其APP是“恶意”的指控，称谷歌的声明“不具决定性”，并指出“其他几个APP也同时被Google Play下架了，我们觉得彭博单独挑出拼多多很奇怪。” 目前尚不清楚腾讯、华为和小米所运营的应用商店是否在调查拼多多APP涉及恶意行为的指控，腾讯、华为和小米方面亦未置评。 此前，中国独立数据安全研究服务机构“深蓝DarkNavy”发布报告称，有知名互联网厂商通过安卓OEM相关漏洞，“在其公开发布的APP中实现对目前市场主流手机系统的漏洞攻击”，以实现隐蔽安装提升装机量、窃取用户隐私数据等目的。报告并未指明是哪家互联网厂商。 （彭博社，新浪财经）