@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃

@onlychigua 近日微博爆料，国产电商巨头 #拼多多 的安卓版本APP利用系统漏洞进行提权，违规收集用户各种敏感数据，窃取竞争对手软件数据等(pic 1)。 该App 利用 Android 系统漏洞提升权限，收集用户的隐私信息（社交媒体、位置、Wi-Fi 、基站路由器等）之后，改写系统关键配置文件为自身保活，修改用户桌面配置隐藏自身或欺骗用户实现防卸载；劫持其他应用，进行长期驻留等操作 该安卓APP被发现利用漏洞后，昨天出动公关团队在微博上删帖，同时还火速发布新版本删除了后门模块(pic 2)。 原文链接 「 深蓝洞察 」2022 年度最“不可赦”漏洞 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 提权代码 https://github.com/davinci1010/pinduoduo_backdoor

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。

网友利用 iOS 15 新隐私特性：发现微信、淘宝、QQ 等在后台反复读取用户相册

网友利用 iOS 15 新隐私特性：发现微信、淘宝、QQ 等在后台反复读取用户相册 据网友 ，其开启了 iOS 15 的隐私新特性 「记录 App 活动」对所有 App 的隐私读取行为进行了 7 天的监控，并使用 App Privacy Insights 对记录进行读取。 该网友发现，微信在用户未主动激活 App 的情况下，在后台数次读取用户相册，每次读取时间长达 40 秒 至 1 分钟不等。（） 建议每位iOS 15用户都开启「记录 App 活动」功能，并使用 Privacy Insights 定期查看

#苹果 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新

#苹果 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新 安全公司OLIGO近日披露苹果AirPlay协议存在可被蠕虫利用的远程代码执行漏洞，攻击者可借此批量感染大量设备、发动攻击。此次共发现24个漏洞，并已分配17个CVE编号。苹果虽在3月31日发布安全更新进行了修复，但众多支持AirPlay的第三方设备仍存在风险，需等待各厂商推送补丁。 专家提醒苹果用户尽快完成系统更新，同时避免在不可信网络中启用AirPlay功能以降低潜在威胁。

WPS Office 存在远程代码执行漏洞

WPS Office 存在远程代码执行漏洞 WPS 近日发布安全通告，确认 WPS Office 存在代码执行漏洞，建议用户更新到最新版本。 WPS 官方称，攻击者利用本漏洞专门构造出恶意文档，受害者打开该文档并执行相应操作后，才会联网从远程服务器下载恶意代码到指定目录并执行，前提是系统当前用户对该目录具备写权限，攻击者进而控制其电脑。 影响范围 •WPS Office 个人版，Windows 平台，版本号低于 12.1.0.15120（含） •WPS Office 机构版本（如专业版、专业增强版），Windows 平台，版本号低于 11.8.2.12055（含）

#苹果用户注意了 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新

#苹果用户注意了 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新 安全公司OLIGO近日披露苹果AirPlay协议存在可被蠕虫利用的远程代码执行漏洞，攻击者可借此批量感染大量设备、发动攻击。此次共发现24个漏洞，并已分配17个CVE编号。苹果虽在3月31日发布安全更新进行了修复，但众多支持AirPlay的第三方设备仍存在风险，需等待各厂商推送补丁。 专家提醒苹果用户尽快完成系统更新，同时避免在不可信网络中启用AirPlay功能以降低潜在威胁。