匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏

匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞,开发漏洞利用方法,将其转化为利润。 消息源称,拼多多应用的恶意功能最初只针对农村和小城镇的用户,避开北京上海之类大都市的用户,此举旨在降低被暴露的风险。通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告。 在被曝光之后该团队于三月初被解散。拼多多在 3 月 5 日释出 v6.50.0 更新移除了漏洞利用代码。 匿名员工称,两天之后开发漏洞利用的团队遭到解散。第三天团队成员发现他们被内部使用的工作通讯应用 Knock 锁定,失去了访问内网文件的权限。工程师访问大数据、数据表和日志系统的权限也被撤销。

相关推荐

封面图片

CNN:在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

CNN:在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒 据拼多多现任员工称,2020 年,该公司成立了一个由约 100 名工程师和产品经理组成的团队,负责挖掘 Android 手机中的漏洞,开发利用这些漏洞的方法并将其转化为利润。 据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开了北京和上海等特大城市的用户。 “目标是降低暴露的风险,”他们说。 消息人士称,通过收集有关用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。 他们说,这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。 消息人士补充说,在有关他们活动的问题曝光后,该团队于 3 月初解散。 Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。 据 CNN 采访的两位专家称,不久之后,3 月 5 日,拼多多发布了其应用程序的新更新版本 6.50.0,删除了这些漏洞。 据拼多多消息人士透露,更新两天后,拼多多解散了开发漏洞的工程师和产品经理团队。 第二天,团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外,并且无法访问公司内部网络上的文件。消息人士称,工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。 团队中的大部分人都被转移到 Temu 工作。据消息人士称,他们被分配到子公司的不同部门,其中一些负责营销或开发推送通知。 研究更新的 Oversecured 的 Toshin 表示,尽管漏洞已被删除,但底层代码仍然存在,可以重新激活以进行攻击。 在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下,拼多多扩大了其用户群。 “这会让工业和信息化部感到尴尬,因为这是他们的工作,”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多,而他们没有发现(任何东西)的事实让监管机构感到尴尬。” 该部定期发布名单,以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。 拼多多没有出现在任何一个名单上。
封面图片

美国网络和基础设施安全局(CISA)对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局(CISA)对被拼多多应用利用的一个 Android 高危漏洞发出警告 编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞,表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。(Solidot)
封面图片

拼多多可以在用户正常使用中获取root权限,这等于你的手机再软件数据方面归他管了啊拿root权限删点文件,偷点隐私换钱你都不知道

拼多多可以在用户正常使用中获取root权限,这等于你的手机再软件数据方面归他管了啊拿root权限删点文件,偷点隐私换钱你都不知道,关键是国内的vivo官方的应用商店还没下架,钱不够就下架,钱到位,下载榜首 酷安有网友利用拼多多事情曝光的Android漏洞,临时rootvovo iqoo 手机。利用该漏洞root不需要重启手机,无任何变砖风险。作者解释说,拼多多的漏洞允许读写根目录,利用这一特性吧/system/app复制到/data/app进行改写,后得到system权限的App进程,利用该system权限的进程App进行一个"service call vivo_daemon.service 3 s16 shellcode..."的操作即可获得root权限。需要手机没有安装谷歌三月份安全补丁。 By:匿名投稿
封面图片

【2022 年度最“不可赦”漏洞】@尹亦声MK15:拼多多攻击用户手机,利用 Android 的反序列化洞子,然后加上其他几个洞

【2022 年度最“不可赦”漏洞】@尹亦声MK15:拼多多攻击用户手机,利用 Android 的反序列化洞子,然后加上其他几个洞子,直接内核提权,窃取竞争对手软件数据,然后给自己保活,顺手防止自己被卸载… #抽屉IT
封面图片

#拼多多 获得2023年度Pwnie Awards的“最差厂商奖”提名,被提名的理由是:“拼多多因在自己App中植入无可辩驳的后

#拼多多 获得2023年度Pwnie Awards的“最差厂商奖”提名,被提名的理由是:“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括卡巴斯基在内的多家媒体和安全公司曝光后,拼多多不仅拒不承认,还反而指责Google的处罚,但却私下迅速将恶意代码悄悄删除并解散了木马团队。拼多多留后门攻击用户手机这事当时早被国内一些技术大佬证实了,在热度刚起来后转发最多的几篇博文却全被集体删除了,紧接着热度就莫名其妙下降开始限流慢慢悄无声息了。
封面图片

谷歌方面宣布,已将拼多多标记为恶意软件,对安装这类应用的用户提示风险。拼多多跨境电商平Temu未受影响。 此前 DarkNavy

谷歌方面宣布,已将拼多多标记为恶意软件,对安装这类应用的用户提示风险。拼多多跨境电商平Temu未受影响。 此前 DarkNavy研究发现,有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机,窃取竞争对手软件数据,以防止自身被卸载。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人