研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控注

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控注：据信该APP指的是“拼多多”微信公众号「DarkNavy」发文，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。——

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控微信公众号「DarkNavy」发文，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw投稿：@ZaiHuabot频道：@TestFlightCN

卡巴斯基确认拼多多APP的中国版本中存在恶意代码

卡巴斯基确认拼多多APP的中国版本中存在恶意代码总部位于莫斯科的卡巴斯基实验室的安全研究人员在PDD的中国购物应用拼多多版本中发现并概述了潜在的恶意软件，此前谷歌将其从其安卓应用商店中下架。在对恶意代码的首批公开报告之一中，卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。它测试了通过中国本地应用商店分发的应用版本，华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用，该公司表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致，尽管彭博新闻社尚未证实早期报道的真实性。这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。虽然拼多多主要在中国使用，但PDD的另一款应用Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。它尚未像ByteDanceLtd.的TikTok那样成为立法者审查的焦点。来源：彭博社https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers投稿：@ZaiHuabot频道：@TestFlightCN

Google Play以拼多多存在恶意软件问题下架该应用

GooglePlay以拼多多存在恶意软件问题下架该应用市场担忧的风险或许是，拼多多货币化率的提升已经趋近天花板，中国电商的大环境之下，拼多多大概率要“告别”高速增长期。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。突然下架3月21日，环球时报援引彭博社报道，Google公司称，由于发现拼多多的多个版本中存在恶意软件问题，已经将这款APP从Google商店下架。Google公司发言人埃德·费尔南德斯在一份声明中表示，已经通过GooglePlayProtect对在GooglePlay商店之外发现的含有恶意软件的拼多多应用进行了处理，出于安全考虑，该应用的Play版本也已经被暂时下架。埃德·费尔南德斯进一步表示，Google公司将正在进一步调查此事，将拼多多APP下架是一种安全预防措施。需要介绍的是，GooglePlayProtect是Google为Android手机提供的恶意软件防护服务，以阻止用户安装这些恶意应用程序，并警告已安装这些恶意应用程序的用户，提示他们尽快卸载这些应用程序。彭博社报道称，Google公司并没有提到海外版拼多多“Temu”，目前这款APP仍可以正常下载。对此，拼多多在电邮声明中表示，Google的声明不具有决定性，并称Google同时暂停了几款应用程序。但拼多多并未对此作出更详细的说明。近日，国内知名独立数据安全研究服务机构深蓝DarkNavy发布一则报告称，有知名互联网厂商通过持续挖掘Android厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。报告指出，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：隐蔽安装，提升装机量；伪造提升DAU/MAU；用户无法卸载；攻击竞争对手App；窃取用户隐私数据；逃避隐私合规监管等各种涉嫌违规违法目的。DarkNavy甚至将这一漏洞称为“2022年度最“不可赦”漏洞”，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。这份报告发布后，一度在科技圈引发热议，这也引发了国内市场对手机APP安全问题的担忧。其实，早在2018年11月，中消协就曾点名拼多多。当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。一夜蒸发1100亿而在被Google下架前夕，拼多多发布的最新财报，也令市场失望。北京时间3月20日，拼多多发布2022年第四季度及全年财报，财报显示，四季度营收为398亿元，同比增长46%，全年营收1306亿元，同比增长39%；四季度净利润为95亿元2022年归属于普通股东的净利润315亿元，同比增长306％。但市场预期，拼多多四季度营收410.08亿元；净利润97.5亿元，相比之下，拼多多的成绩单大幅不及市场预期，这也令市场大失所望。当日晚间，美股开盘后，拼多多股价持续大跌，截止当日收盘，跌幅超14%，总市值缩水至997.7亿美元（约合人民币6856亿元），单日蒸发市值达165亿美元（约合人民币1134亿元）。据财报显示，2022年第四季度，拼多多的Non-GAAP盈利为121.06亿元，如果扣除股份激励的24.86亿元，实际盈利只有96亿左右。而在2022年第三季度，拼多多的Non-GAAP盈利为124.47亿元，如果扣除掉股权激励的18.65亿元，实际盈利为106亿左右。如果继续追溯前2个季度，扣除股权激励后，拼多多的实际盈利分别为89亿元、27亿元。这表明，拼多多货币化率的提升已经趋近天花板，这或许才是市场担忧的风险，拼多多股价大跌的原因。在投资者看来，近几个季度以来，拼多多的高增长并非源于GMV的良性增长，而是因为平台加大了从商家侧的抽成力度。更现实的问题是，中国电商的大环境之下，拼多多大概率要“告别”高速增长期，将与国内其他电商平台进入平稳增长。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。不过幸运的是，拼多多海外版“Temu”在国外市场的前期探索还比较顺利，这有机会给拼多多建立“第二曲线”。但Google公司的突然下架，也给拼多多海外业务蒙上了一层不确定的“阴影”。...PC版：https://www.cnbeta.com.tw/articles/soft/1351485.htm手机版：https://m.cnbeta.com.tw/view/1351485.htm

不要脸的 #拼多多 ：Google修复拼多多利用的漏洞，同时拼多多到处投诉试图删除相关报道

不要脸的#拼多多：Google修复拼多多利用的漏洞，同时拼多多到处投诉试图删除相关报道Google于3月6日发布的2023-03Android安全更新修复多个漏洞，但并未透露细节。昨天有研究机构称CVE-2023-20963就是被拼多多利用的漏洞之一，Google已经修复。同时拼多多公关团队在微信公众平台到处投诉，自称「高度重视并依法维护用户隐私、信息安全权益，一直严格遵守国家关于App运行管理的相关法规」，试图令微信删除相关报道（如图所示）。微信驳回后，拼多多仍重复投诉。我宣布张小龙的暂时复活了。来源：https://ourl.co/98020(备案网站慎点)

「 深蓝洞察 」2022 年度最“不可赦”漏洞

「深蓝洞察」2022年度最“不可赦”漏洞该互联网厂商（大概率PDD）通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：-隐蔽安装，提升装机量-伪造提升DAU/MAU-用户无法卸载-攻击竞争对手App-窃取用户隐私数据-逃避隐私合规监管-等各种涉嫌违规违法目的。https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw投稿：@ZaiHuabot频道：@TestFlightCN