CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒 据拼多多现任员工称，2020 年，该公司成立了一个由约 100 名工程师和产品经理组成的团队，负责挖掘 Android 手机中的漏洞，开发利用这些漏洞的方法并将其转化为利润。 据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。 “目标是降低暴露的风险，”他们说。 消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。 他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。 消息人士补充说，在有关他们活动的问题曝光后，该团队于 3 月初解散。 Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。 据 CNN 采访的两位专家称，不久之后，3 月 5 日，拼多多发布了其应用程序的新更新版本 6.50.0，删除了这些漏洞。 据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。 第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。 团队中的大部分人都被转移到 Temu 工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。 研究更新的 Oversecured 的 Toshin 表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。 在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下，拼多多扩大了其用户群。 “这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多，而他们没有发现（任何东西）的事实让监管机构感到尴尬。” 该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。 拼多多没有出现在任何一个名单上。

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告 编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。（Solidot）

拼多多可以在用户正常使用中获取root权限，这等于你的手机再软件数据方面归他管了啊拿root权限删点文件，偷点隐私换钱你都不知道

拼多多可以在用户正常使用中获取root权限，这等于你的手机再软件数据方面归他管了啊拿root权限删点文件，偷点隐私换钱你都不知道，关键是国内的vivo官方的应用商店还没下架，钱不够就下架，钱到位，下载榜首 酷安有网友利用拼多多事情曝光的Android漏洞，临时rootvovo iqoo 手机。利用该漏洞root不需要重启手机，无任何变砖风险。作者解释说，拼多多的漏洞允许读写根目录，利用这一特性吧/system/app复制到/data/app进行改写，后得到system权限的App进程，利用该system权限的进程App进行一个"service call vivo_daemon.service 3 s16 shellcode..."的操作即可获得root权限。需要手机没有安装谷歌三月份安全补丁。 By:匿名投稿

【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞

【2022 年度最“不可赦”漏洞】@尹亦声MK15：拼多多攻击用户手机，利用 Android 的反序列化洞子，然后加上其他几个洞子，直接内核提权，窃取竞争对手软件数据，然后给自己保活，顺手防止自己被卸载… #抽屉IT

拼多多被曝含有恶意程序

拼多多被曝含有恶意程序 彭博社周一（27日）报道，俄罗斯杀毒软件公司卡巴斯基（Kaspersky）实验室的安全研究人员，已经识别出中国购物应用程式「拼多多」中包含恶意代码，利用已知的 Android 漏洞来提升权限、下载和执行其他恶意模块，获得了访问用户通知和文件的权限。 谷歌上周从应用商店下架中国购物应用程式「拼多多」。卡巴斯基公司与彭博新闻分享的研究结果对于上周谷歌的行动提供了其中最为清晰的解释。 这起安全事件可能会加剧美国有关中国应用程序数据安全的激烈言论。外国版本的拼多多“Temu”在过去几个月中一直是美国苹果应用商店下载量最高的应用程序。但它还没有像字节跳动的TikTok一样成为立法者审查的焦点。 原文链接 《彭博社》 《第一财经》 《自由亚洲电台》

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃取竞争对手软件数据等(pic 1)。 该App 利用 Android 系统漏洞提升权限，收集用户的隐私信息（社交媒体、位置、Wi-Fi 、基站路由器等）之后，改写系统关键配置文件为自身保活，修改用户桌面配置隐藏自身或欺骗用户实现防卸载；劫持其他应用，进行长期驻留等操作 该安卓APP被发现利用漏洞后，昨天出动公关团队在微博上删帖，同时还火速发布新版本删除了后门模块(pic 2)。 原文链接 「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 提权代码 https://github.com/davinci1010/pinduoduo_backdoor