研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控 注：据信该APP指的是“拼多多” 微信公众号「DarkNavy」发文，称某互联网厂商 App 利用 Android 系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。 该互联网厂商在自家看似无害的 App 里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。 提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等） 之后，该 App 进一步使用的另一个黑客技术手段，是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写； 进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载； 随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留； 甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

匿名拼多多员工称，公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队，致力于挖掘 Android 手机漏

匿名拼多多员工称，公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队，致力于挖掘 Android 手机漏洞，开发漏洞利用方法，将其转化为利润。 消息源称，拼多多应用的恶意功能最初只针对农村和小城镇的用户，避开北京上海之类大都市的用户，此举旨在降低被暴露的风险。通过收集用户活动的大量数据，拼多多能全面了解用户习惯、兴趣和偏好，改进其机器学习模型，提供更具有个性化的推送通知和广告。 在被曝光之后该团队于三月初被解散。拼多多在 3 月 5 日释出 v6.50.0 更新移除了漏洞利用代码。 匿名员工称，两天之后开发漏洞利用的团队遭到解散。第三天团队成员发现他们被内部使用的工作通讯应用 Knock 锁定，失去了访问内网文件的权限。工程师访问大数据、数据表和日志系统的权限也被撤销。

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃取竞争对手软件数据等(pic 1)。 该App 利用 Android 系统漏洞提升权限，收集用户的隐私信息（社交媒体、位置、Wi-Fi 、基站路由器等）之后，改写系统关键配置文件为自身保活，修改用户桌面配置隐藏自身或欺骗用户实现防卸载；劫持其他应用，进行长期驻留等操作 该安卓APP被发现利用漏洞后，昨天出动公关团队在微博上删帖，同时还火速发布新版本删除了后门模块(pic 2)。 原文链接 「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 提权代码 https://github.com/davinci1010/pinduoduo_backdoor

一款专门用来跳过各种广告的app，它能帮助你跳过各种各样的广告，李跳跳无需root权限即可自动查找隐藏的广告并进行拦截，让你轻松

一款专门用来跳过各种广告的app，它能帮助你跳过各种各样的广告，李跳跳无需root权限即可自动查找隐藏的广告并进行拦截，让你轻松玩游戏、看剧、看小说等等，从此不用在等待，右上角导入规则，用mt管理器复制，不知道的可以应用商店下载. #工具 #跳广告 #李跳跳 #派大星

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒 据拼多多现任员工称，2020 年，该公司成立了一个由约 100 名工程师和产品经理组成的团队，负责挖掘 Android 手机中的漏洞，开发利用这些漏洞的方法并将其转化为利润。 据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。 “目标是降低暴露的风险，”他们说。 消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。 他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。 消息人士补充说，在有关他们活动的问题曝光后，该团队于 3 月初解散。 Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。 据 CNN 采访的两位专家称，不久之后，3 月 5 日，拼多多发布了其应用程序的新更新版本 6.50.0，删除了这些漏洞。 据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。 第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。 团队中的大部分人都被转移到 Temu 工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。 研究更新的 Oversecured 的 Toshin 表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。 在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下，拼多多扩大了其用户群。 “这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多，而他们没有发现（任何东西）的事实让监管机构感到尴尬。” 该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。 拼多多没有出现在任何一个名单上。

Windows 11、特斯拉和Ubuntu Linux在温哥华Pwn2Own大会上被攻破

Windows 11、特斯拉和Ubuntu Linux在温哥华Pwn2Own大会上被攻破 比赛一开始，Haboob SA 的阿卜杜勒-阿齐兹-哈里里（Abdul Aziz Hariri）利用一个 Adobe Reader 漏洞，结合 API 限制绕过和命令注入漏洞，在 macOS 上执行代码，赢得了 50000 美元。Synacktiv 利用整数溢出功能，在 30 秒内入侵了带有车辆 (VEH) CAN 总线控制功能的特斯拉 ECU，赢得了特斯拉 Model 3 和 20 万美元奖金。Theori 安全研究人员 Gwangun Jung 和 Junoh Lee 利用针对未初始化变量漏洞、UAF 弱点和基于堆的缓冲区溢出的链，逃离 VMware Workstation 虚拟机，在主机 Windows 操作系统上以 SYSTEM 的身份执行代码，从而获得了 13 万美元。Reverse Tactics 的 Bruno PUJOS 和 Corentin BAYET 利用两个 Oracle VirtualBox 漏洞和一个 Windows UAF 逃脱虚拟机并将权限提升至 SYSTEM，从而获得了 9 万美元。比赛第一天结束时，曼弗雷德-保罗入侵了苹果 Safari、Google Chrome 和微软 Edge 网页浏览器，利用了三个零日漏洞，赢得了 102500 美元。Pwn2Own 第一天的其他尝试包括：DEVCORE 研究团队利用两个漏洞（包括一个 TOCTAU 竞争条件），在一个打满补丁的 Windows 11 系统上将权限升级到 SYSTEM，从而获得了 3 万美元的奖金。他们还演示了一个已知的 Ubuntu Linux 本地权限升级 (LPE) 漏洞，因此获得了 10000 美元的奖金。KAIST 黑客实验室的 Seunghyun Lee 利用"使用后免费"（UAF）漏洞入侵了Google Chrome 浏览器，并因此获利 60000 美元。来自 ASU SEFCOM 的 Kyle Zeng 演示了另一个通过竞赛条件针对 Ubuntu Linux 的 LPE 漏洞利用，赚取了 20000 美元。科迪-加拉格尔（Cody Gallagher）也因一个 Oracle VirtualBox 越界（OOB）写入零日漏洞赢得了 20000 美元奖金。Viettel 网络安全公司的 Dungdm 还利用两个漏洞链以 20000 美元的价格入侵了甲骨文的 VirtualBox。在 Pwn2Own 演示零日漏洞后，供应商有 90 天的时间为所有报告的漏洞创建和发布安全补丁，然后趋势科技的零日计划才会公开披露这些漏洞。Pwn2Own 温哥华 2024 排行榜 (ZDI)在整个Pwn2Own Vancouver 2024 期间，安全研究人员将针对网络浏览器、云原生/容器、虚拟化、企业应用、服务器、本地权限升级 (EoP)、企业通信和汽车等类别中已打满补丁的产品进行研究。第二天，Pwn2Own 的竞争对手将尝试利用 Windows 11、VMware Workstation、Oracle VirtualBox、Mozilla Firefox、Ubuntu Desktop、Google Chrome、Docker Desktop 和 Microsoft Edge 中的零日漏洞。经过两天的黑客大赛，黑客们可以获得超过 130 万美元的奖金，其中包括一辆特斯拉 Model 3 汽车。现在，黑客攻击特斯拉的最高奖励是 15 万美元和汽车本身。参赛者如果能在特斯拉自动驾驶系统中实现完全远程控制，且根部不受限制，就能赢得最高 50 万美元的奖金和一辆特斯拉 Model 3 汽车。利用 Windows 内核漏洞，他们还可以获得 30 万美元的奖励，因为他们可以成功地从 Hyper-V 客户端逃逸到主机，并在主机操作系统上进行权限升级。在去年由 Synacktiv 团队赢得的温哥华 Pwn2Own 比赛中，黑客们通过在 Windows 11、Microsoft Teams、Microsoft SharePoint、macOS、Ubuntu Desktop、VMware Workstation、Oracle VirtualBox 和特斯拉 Model 3 中的 27 个零日（和几个漏洞碰撞），获得了 1035000 美元和一辆特斯拉汽车。Synacktiv 还在今年 1 月举行的第一届 Pwn2Own Automotive 大会上黑进了特斯拉调制解调器和信息娱乐系统，通过三个零日漏洞链获得了特斯拉调制解调器的 root 权限，并通过两个零日漏洞链演示了信息娱乐系统的沙盒逃逸。 ... PC版： 手机版：