中国三大电商巨头之一的拼多多app被爆出间谍木马化

中国三大电商巨头之一的拼多多app被爆出间谍木马化微信公众号「DarkNavy」[发文](https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw)，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。据信该APP指的是中国三大电商巨头之一“拼多多”。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

谷歌周二在一份声明中表示，因发现拼多多未上架Play Store的外部版本包含恶意软件，为预防起见已将其下架Play Store

谷歌周二在一份声明中表示，因发现拼多多未上架PlayStore的外部版本包含恶意软件，为预防起见已将其下架PlayStore，且PlayProtect也将拦截其安装。受此影响，拼多多美股盘前跌超2%。谷歌在声明中并未提及拼多多的出海平台Temu，且该APP仍可在PlayStore中正常下载安装。作为回应，拼多多通过电子邮件发表声明，强烈反对关于其APP是“恶意”的指控，称谷歌的声明“不具决定性”，并指出“其他几个APP也同时被GooglePlay下架了，我们觉得彭博单独挑出拼多多很奇怪。”目前尚不清楚腾讯、华为和小米所运营的应用商店是否在调查拼多多APP涉及恶意行为的指控，腾讯、华为和小米方面亦未置评。此前，中国独立数据安全研究服务机构“深蓝DarkNavy”称，有知名互联网厂商通过安卓OEM相关漏洞，“在其公开发布的APP中实现对目前市场主流手机系统的漏洞攻击”，以实现隐蔽安装提升装机量、窃取用户隐私数据等目的。报告并未指明是哪家互联网厂商。（，）

Google Play以拼多多存在恶意软件问题下架该应用

GooglePlay以拼多多存在恶意软件问题下架该应用市场担忧的风险或许是，拼多多货币化率的提升已经趋近天花板，中国电商的大环境之下，拼多多大概率要“告别”高速增长期。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。突然下架3月21日，环球时报援引彭博社报道，Google公司称，由于发现拼多多的多个版本中存在恶意软件问题，已经将这款APP从Google商店下架。Google公司发言人埃德·费尔南德斯在一份声明中表示，已经通过GooglePlayProtect对在GooglePlay商店之外发现的含有恶意软件的拼多多应用进行了处理，出于安全考虑，该应用的Play版本也已经被暂时下架。埃德·费尔南德斯进一步表示，Google公司将正在进一步调查此事，将拼多多APP下架是一种安全预防措施。需要介绍的是，GooglePlayProtect是Google为Android手机提供的恶意软件防护服务，以阻止用户安装这些恶意应用程序，并警告已安装这些恶意应用程序的用户，提示他们尽快卸载这些应用程序。彭博社报道称，Google公司并没有提到海外版拼多多“Temu”，目前这款APP仍可以正常下载。对此，拼多多在电邮声明中表示，Google的声明不具有决定性，并称Google同时暂停了几款应用程序。但拼多多并未对此作出更详细的说明。近日，国内知名独立数据安全研究服务机构深蓝DarkNavy发布一则报告称，有知名互联网厂商通过持续挖掘Android厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。报告指出，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：隐蔽安装，提升装机量；伪造提升DAU/MAU；用户无法卸载；攻击竞争对手App；窃取用户隐私数据；逃避隐私合规监管等各种涉嫌违规违法目的。DarkNavy甚至将这一漏洞称为“2022年度最“不可赦”漏洞”，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。这份报告发布后，一度在科技圈引发热议，这也引发了国内市场对手机APP安全问题的担忧。其实，早在2018年11月，中消协就曾点名拼多多。当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。一夜蒸发1100亿而在被Google下架前夕，拼多多发布的最新财报，也令市场失望。北京时间3月20日，拼多多发布2022年第四季度及全年财报，财报显示，四季度营收为398亿元，同比增长46%，全年营收1306亿元，同比增长39%；四季度净利润为95亿元2022年归属于普通股东的净利润315亿元，同比增长306％。但市场预期，拼多多四季度营收410.08亿元；净利润97.5亿元，相比之下，拼多多的成绩单大幅不及市场预期，这也令市场大失所望。当日晚间，美股开盘后，拼多多股价持续大跌，截止当日收盘，跌幅超14%，总市值缩水至997.7亿美元（约合人民币6856亿元），单日蒸发市值达165亿美元（约合人民币1134亿元）。据财报显示，2022年第四季度，拼多多的Non-GAAP盈利为121.06亿元，如果扣除股份激励的24.86亿元，实际盈利只有96亿左右。而在2022年第三季度，拼多多的Non-GAAP盈利为124.47亿元，如果扣除掉股权激励的18.65亿元，实际盈利为106亿左右。如果继续追溯前2个季度，扣除股权激励后，拼多多的实际盈利分别为89亿元、27亿元。这表明，拼多多货币化率的提升已经趋近天花板，这或许才是市场担忧的风险，拼多多股价大跌的原因。在投资者看来，近几个季度以来，拼多多的高增长并非源于GMV的良性增长，而是因为平台加大了从商家侧的抽成力度。更现实的问题是，中国电商的大环境之下，拼多多大概率要“告别”高速增长期，将与国内其他电商平台进入平稳增长。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。不过幸运的是，拼多多海外版“Temu”在国外市场的前期探索还比较顺利，这有机会给拼多多建立“第二曲线”。但Google公司的突然下架，也给拼多多海外业务蒙上了一层不确定的“阴影”。...PC版：https://www.cnbeta.com.tw/articles/soft/1351485.htm手机版：https://m.cnbeta.com.tw/view/1351485.htm

华盛昌与史泰博（上海）有限公司开启战略合作伙伴关系

华盛昌与史泰博（上海）有限公司开启战略合作伙伴关系3月20日，华盛昌与史泰博（上海）有限公司在上海2024生产性互联网服务平台助推内外贸一体化发展高峰论坛上签署《战略合作协议》，双方正式成为重要的战略合作伙伴。总部位于深圳的华盛昌是一家集专业自主设计、研发、生产和销售各类测量仪器仪表于一体的国家级高新技术企业。史泰博是全球卓越的办公用品公司，创立于1986年的美国波士顿，2004年进入中国，以全场景化采购解决方案为用户打造一站式政企采购服务平台。

这个被出版商恨之入骨的男人 建了一个白嫖党的乌托邦

这个被出版商恨之入骨的男人建了一个白嫖党的乌托邦这则公告指向了今年3月，互联网档案馆被判败诉的一场诉讼案，而现在，卡勒和他的团队决定抗争到底。可能大伙儿现在还有点儿云里雾里的，互联网档案馆是啥？又为啥被起诉了？别着急，在正式开始吃瓜之前，我先简单介绍介绍这个互联网档案馆。当年从麻省理工毕业后，卡勒一手创立起了Alexa和InternetArchive两个项目，前者转手卖给亚马逊，赚了2.5亿美元。而后者直到今天仍在卡勒的手里运营着，它就是互联网档案馆。从1996年开始，互联网档案馆就通过创建档案馆藏、保存实体档案、归档社交媒体等多种形式，将互联网上很多有价值的信息保存下来。你可以在馆里找到当年肯尼迪的发言、迈克杰克逊的舞台影像，甚至于1989年迪士尼的老电影。利用WaybackMachine（ 网站时光机 ），还可以回到某个网站的特定历史时间节点，即使网站没了，照样能利用网站时光机 “ 回到过去 ” 。截至目前，互联网档案馆已经保存了超过 6500 亿个网页的历史记录、 700 多万本扫描电子书还有 1073 万个视频...大到某政客的发言，小到一张meme图，都有可能被收录在档案馆内。就像档案馆团队宣传海报上写的那样， “rescueyourshit” （ 当然不是真的捡你的屎 ）。可能你今天在社交平台上留下的某些黑历史，说不定就被互联网档案馆的爬虫爬到了，然后在未来的某一天突然被翻出来。真就应验了那句话，死去的回忆突然攻击我。。。更重要的是，互联网档案馆所包含的这些数以千万计的图书、电影、音乐、网站还有软件等等，都是免费的。也因此，互联网档案馆在英语世界颇受欢迎，根据TheVerge的数据，互联网档案馆目前每天大约能借出去7万本电子书。到这儿估计大伙儿多多少少也能猜出来，互联网档案馆之所以被起诉，是因为动了某些人的 “ 蛋糕 ” 。事情的起因是这样的。OpenLibrary（ 开放图书馆 ）是互联网档案馆的一个在线图书馆项目，2020 年疫情期间，因为图书馆和学校都关了，很多人没法儿线下看书找资料，所以互联网档案馆临时启动了一个国家紧急图书馆计划。这个项目把差不多 140 万本实体书扫描出来，不限数量地租借给读者们。这一做法在我们看来自然是好事一桩，但在当时，却遭到了不少作家和出版商的反对。有四家出版商联合起来，把互联网档案馆告上了法庭，指控理由是互联网档案馆违反了《 版权法 》，还有六千名作家签了请愿书支持这场诉讼。一时间， “ 为众人抱薪 ” 的互联网档案馆突然就变成了侵犯版权的盗贼。问题的核心，在于一个名叫CDL（ 受控数字借阅 ）的理论。大概在2011年的时候，互联网档案馆便是基于这理论，模拟线下图书馆的模式向开放图书馆的注册用户提供扫描电子书。所谓 CDL ，你可以理解为以1:1的比例免费对外租借电子书，并且还需要对数量做好记录。就跟你去线下图书馆借书是一个道理，一本书对应一个人，谁借的、借的什么书、什么时候借的，都要记得清清楚楚。问题就出在这。国家紧急图书馆计划推翻了之前CDL建立起来的借阅秩序，计划启动后，互联网档案馆全面放开了书籍的借阅限制，让一本书可以很多人同时下载阅读。这样的行为，直接惹恼了出版商。本来出版商们对于CDL，都是睁一只眼闭一只眼的态度，这次无异于在雷点上蹦迪了。所以他们集中火力瞄准了国家紧急图书馆计划，并且射程范围还波及到了整个开放图书馆和CDL理论。其中，根据美国《 版权法 》中对电子书租借的规定，如果图书馆想要对外租借电子书，需要从出版商或者作者那拿到许可证。出版商现在就咬死了互联网档案馆并没有向他们支付许可费。但在互联网档案馆看来，他们是一家图书馆，通过捐赠、购买等渠道获得的实体书，扫描之后通过电子版借出去，应该不需要向版权商支付额外费用。他们的辩护，主要基于《 版权法 》中的 “ 合理使用原则 ” ，也就是指，在某些特定情况下，无需获得版权人的许可，也可以使用其作品。一来，互联网档案馆是非营利性组织，二来数字副本的确在某种程度上 “ 转换 ” 了原作，还提供了公益服务。但问题又来了，互联网档案馆的图书馆身份是否得到了官方的认证？再者，即便是图书馆，那就有权利将实体书扫描成副本并租借出去吗？虽然很多美国的高校图书馆和公共图书馆都在实行CDL模式，但说到底它也只是一个约定俗成的概念，并没有具体的法律支撑，在这场诉讼中，法官也对CDL的合法性提出了质疑。种种指控，都让互联网档案馆身处不利，今年3月，这场长达3年的诉讼还是以互联网档案馆败诉告一段落。最后法院认为，出版商在这件事儿上所受到的影响，要远大过互联网档案馆所创造的社会价值。事实上，这场法庭对峙，最终并不只是单纯指向出版商或者互联网档案馆任何一方的输赢，而是关乎数字图书馆在今后该以何种面貌继续生存下去的关键。所以这一来二去的，不提卡勒，反倒先给一些美国民众给整害怕了。国外一个叫做 “FightfortheFuture” （ 为未来而战 ）的数字版权组织，就发起了一场 “ 图书馆之战 ” 。参与这场 “ 战斗 ” 的公众们也自发开展了各种形式的声援活动。他们换上各种 “DefendtheInternetArchive” 的头像、发表对互联网档案馆有利的帖子、每天在互联网档案馆里读一本书、捐款、填写请愿的表单。。。而互联网档案馆也选择继续上诉，在上诉推文下，还有不少支持的声音。而在差评君看来，互联网档案馆选择继续上诉，不仅仅是为自己的生存而战，或许也是为了知识的自由获取权。就像互联网档案馆宣称的那样， “ 对人类的所有知识开放 ” 。而且很显然，在数字时代，我们仍然需要一座巨大数字图书馆。...PC版：https://www.cnbeta.com.tw/articles/soft/1384875.htm手机版：https://m.cnbeta.com.tw/view/1384875.htm

批评“国家反诈中心APP”：移动设备版“绿坝·花季护航”，中共版无法律依据的“棱镜”计划，对人权的无视和践踏背景

批评“国家反诈中心APP”：移动设备版“绿坝·花季护航”，中共版无法律依据的“棱镜”计划，对人权的无视和践踏背景花季·绿坝护航：国家反诈中心APP：21年，中共开发了这个恶意软件，在疫情期间强制安装，例如民警登门亲自登记，亲自安装;地铁站门口要求安装，否则不让进入（那一星期我重装了20多次系统）;打电话进行推广、各种推送、新系统内置。批评正文“绿坝·花季护航”和“国家反诈中心APP”中存在的问题不仅仅是政府过度监控和审查的体现，更包括了对公众个人隐私和信息自由的侵犯。这两个应用程序中的问题所涉及到的具体方面有：1、过度审查：政府对互联网和手机通讯的监控和审查已经成为了中国大陆的常态化现象，这种行为不仅仅是对公众个人隐私的侵犯，也会限制公众的思想表达和言论自由。“绿坝·花季护航”软件中的敏感词过滤功能就是一个明显的审查行为，可能会过度限制公众的言论自由。“国家反诈中心APP”属于移动设备专有软件，能够获取更多信息。2、索要过多权限：在“国家反诈中心APP”中，该应用程序强制要求用户授权多项手机权限，包括获取用户的通讯录、位置信息、短信内容等。3、强制实名认证：在“国家反诈中心APP”中，该应用程序要求用户进行实名认证才能使用。这些问题说明了中共过度监控和审查的不良影响，不仅会对公众个人隐私和信息自由产生潜在的威胁，也会对社会和经济发展产生不利影响。#政治via