非 Google Play 版本

安全公司Lookout的研究人员对非GooglePlay版本#拼多多应用的分析确认了。初步分析显示，至少两个非Play版本的拼多多应用利用了漏洞CVE-2023-20963。Lookout的研究人员分析了拼多多在3月5日前发布的两个版本，都包含了利用CVE-2023-20963的代码。这两个版本都使用了与拼多多GooglePlay版本相同的密钥签名。目前没有证据表明GooglePlay和苹果AppStore的版本含有恶意代码，通过Google和苹果官方商店下载的拼多多应用（暂且可以认为）是安全的。ForwardedfromSource:/

Google Play 商店再次开放并行下载功能

GooglePlay商店再次开放并行下载功能GooglePlay一直无法同时下载多个应用程序，Reddit上有各种旧帖子和三四年前的Play商店界面的屏幕截图，显示了并行下载安装的功能，但只是内测从未正式上线。在Play商店版本40.0.13中，Google再次尝试并行安装功能。虽然该功能非常有用，但也有一些限制：·并行安装可能不适用于“管理应用程序和设备”部分中的应用程序更新；·谷歌还通过一个flag限制了并行下载的数量，默认情况下只能同时下载两个应用程序，但可以更改。如果您有ROOT设备，您可以使用GMSFlags应用程序或手动添加以下标志启用该测试功能：Package-com.google.android.finsky.regularFlags-InstallQueue__enable_su_parallel_install线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

Google Play以拼多多存在恶意软件问题下架该应用

GooglePlay以拼多多存在恶意软件问题下架该应用市场担忧的风险或许是，拼多多货币化率的提升已经趋近天花板，中国电商的大环境之下，拼多多大概率要“告别”高速增长期。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。突然下架3月21日，环球时报援引彭博社报道，Google公司称，由于发现拼多多的多个版本中存在恶意软件问题，已经将这款APP从Google商店下架。Google公司发言人埃德·费尔南德斯在一份声明中表示，已经通过GooglePlayProtect对在GooglePlay商店之外发现的含有恶意软件的拼多多应用进行了处理，出于安全考虑，该应用的Play版本也已经被暂时下架。埃德·费尔南德斯进一步表示，Google公司将正在进一步调查此事，将拼多多APP下架是一种安全预防措施。需要介绍的是，GooglePlayProtect是Google为Android手机提供的恶意软件防护服务，以阻止用户安装这些恶意应用程序，并警告已安装这些恶意应用程序的用户，提示他们尽快卸载这些应用程序。彭博社报道称，Google公司并没有提到海外版拼多多“Temu”，目前这款APP仍可以正常下载。对此，拼多多在电邮声明中表示，Google的声明不具有决定性，并称Google同时暂停了几款应用程序。但拼多多并未对此作出更详细的说明。近日，国内知名独立数据安全研究服务机构深蓝DarkNavy发布一则报告称，有知名互联网厂商通过持续挖掘Android厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。报告指出，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：隐蔽安装，提升装机量；伪造提升DAU/MAU；用户无法卸载；攻击竞争对手App；窃取用户隐私数据；逃避隐私合规监管等各种涉嫌违规违法目的。DarkNavy甚至将这一漏洞称为“2022年度最“不可赦”漏洞”，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。这份报告发布后，一度在科技圈引发热议，这也引发了国内市场对手机APP安全问题的担忧。其实，早在2018年11月，中消协就曾点名拼多多。当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。一夜蒸发1100亿而在被Google下架前夕，拼多多发布的最新财报，也令市场失望。北京时间3月20日，拼多多发布2022年第四季度及全年财报，财报显示，四季度营收为398亿元，同比增长46%，全年营收1306亿元，同比增长39%；四季度净利润为95亿元2022年归属于普通股东的净利润315亿元，同比增长306％。但市场预期，拼多多四季度营收410.08亿元；净利润97.5亿元，相比之下，拼多多的成绩单大幅不及市场预期，这也令市场大失所望。当日晚间，美股开盘后，拼多多股价持续大跌，截止当日收盘，跌幅超14%，总市值缩水至997.7亿美元（约合人民币6856亿元），单日蒸发市值达165亿美元（约合人民币1134亿元）。据财报显示，2022年第四季度，拼多多的Non-GAAP盈利为121.06亿元，如果扣除股份激励的24.86亿元，实际盈利只有96亿左右。而在2022年第三季度，拼多多的Non-GAAP盈利为124.47亿元，如果扣除掉股权激励的18.65亿元，实际盈利为106亿左右。如果继续追溯前2个季度，扣除股权激励后，拼多多的实际盈利分别为89亿元、27亿元。这表明，拼多多货币化率的提升已经趋近天花板，这或许才是市场担忧的风险，拼多多股价大跌的原因。在投资者看来，近几个季度以来，拼多多的高增长并非源于GMV的良性增长，而是因为平台加大了从商家侧的抽成力度。更现实的问题是，中国电商的大环境之下，拼多多大概率要“告别”高速增长期，将与国内其他电商平台进入平稳增长。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。不过幸运的是，拼多多海外版“Temu”在国外市场的前期探索还比较顺利，这有机会给拼多多建立“第二曲线”。但Google公司的突然下架，也给拼多多海外业务蒙上了一层不确定的“阴影”。...PC版：https://www.cnbeta.com.tw/articles/soft/1351485.htm手机版：https://m.cnbeta.com.tw/view/1351485.htm

微软安全研究人员发现macOS漏洞 可让恶意软件绕过安全检查

微软安全研究人员发现macOS漏洞可让恶意软件绕过安全检查Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的MarkoftheWeb。该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。微软周一表示，"苹果在macOSVentura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles"。微软安全威胁情报团队补充说："无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本"。这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。例如，BarOr在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。了解更多：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42821...PC版：https://www.cnbeta.com.tw/articles/soft/1335733.htm手机版：https://m.cnbeta.com.tw/view/1335733.htm

Google宣布下架拼多多并利用Google Play保护机制提醒其为恶意软件

#给他们一点小小的中国震撼#拼多多Google宣布下架拼多多并利用GooglePlay保护机制提醒其为恶意软件近日，因攻击用户，超范围收集用户隐私、攻击竞争对手App，GooglePlayStore把拼多多下架了。Google称存在恶意行为的是非Play商店版本，但Google仍然通过保护机制提醒用户删除拼多多（甚至在19日就有用户反应，一觉醒来，拼多多就被Google自动卸载了）。但后续研究表明Play商店版拼多多也会利用云控下发指令以利用系统漏洞进行攻击，所以Google的说法不严谨。（Android13大可放心没你们什么事）

Google推出基于AI的实时威胁检测服务 瞄准Android恶意软件的可疑行为

Google推出基于AI的实时威胁检测服务瞄准Android恶意软件的可疑行为如果发现可疑行为，GooglePlayProtect就会将该应用发送到Google进行进一步审查，并对安装了该应用的用户发出警告，甚至在必要时禁用该应用。该检测还利用了Google的私人计算核心（PrivateComputeCore），这是2022年推出的Android隐私基础架构，在Android操作系统内部提供了一个隔离的数据处理环境。私有计算核心（PCC）的理念是让用户控制是否、如何或何时共享他们的数据。通过使用PCC，新的实时威胁检测功能可以在不收集用户数据的情况下保护用户。Google表示，今年晚些时候将在GooglePixel设备上部署该系统。其他制造商也将加入，包括Oppo、荣耀、联想、一加、Nothing、传音、夏普等。这项服务可以让Android用户更放心地从GooglePlay下载和使用应用程序，他们更希望在应用审核过程中发现恶意应用。这也是苹果公司关注的重点，因为苹果公司经常向消费者和开发者宣传其AppStore的好处。虽然不良行为者经常从苹果的缝隙中溜走，但苹果在允许它们在AppStore上架之前，会通过更加严格的审查制度淘汰更多的不良应用。例如，在I/O大会之前，苹果宣布其已经阻止了AppStore上18亿美元的欺诈行为。除了实时威胁检测服务外，Google还宣布将从通知中隐藏一次性密码，以减少欺诈和间谍软件的常见攻击载体。此外，Google还将扩展Android13的限制设置，现在当用户在设备上侧载应用程序时，需要额外的用户批准才能启用应用程序权限。...PC版：https://www.cnbeta.com.tw/articles/soft/1431048.htm手机版：https://m.cnbeta.com.tw/view/1431048.htm