拼多多被曝恶意利用漏洞后，已解散挖掘漏洞相关团队

拼多多被曝恶意利用漏洞后，已解散挖掘漏洞相关团队据拼多多现任员工称，2020年，该公司成立了一个由约100名工程师和产品经理组成的团队，负责挖掘Android手机中的漏洞，开发利用这些漏洞的方法——并将其转化为利润。据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。“目标是降低暴露的风险，”他们说。消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。消息人士补充，在有关他们活动的问题曝光后，该团队于3月初解散。Toshin将拼多多描述为主流应用程序中发现的“最危险的恶意软件”，“我以前从未见过这样的事情。”他说。据RFI采访的两位专家称，不久之后，3月5日，拼多多发布了其应用程序的新更新版本6.50.0，删除了这些漏洞。据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序Knock之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。团队中的大部分人都被转移到Temu工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。研究更新的Oversecured的Toshin表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。在工信部从2020年底开始对大型科技公司进行监管的背景下，拼多多依然扩大了其用户群。“这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司TriviumChina的技术政策专家KendraSchaefer说。“他们应该检查拼多多，而他们没有发现任何东西的事实让监管机构感到尴尬。”该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。而拼多多没有出现在任何一个名单上。——RFI投稿：@ZaiHuabot频道：@TestFlightCN

在Telegram中查看

相关推荐

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队但拼多多在中国屹立不倒

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队但拼多多在中国屹立不倒据拼多多现任员工称，2020年，该公司成立了一个由约100名工程师和产品经理组成的团队，负责挖掘Android手机中的漏洞，开发利用这些漏洞的方法——并将其转化为利润。据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。“目标是降低暴露的风险，”他们说。消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。消息人士补充说，在有关他们活动的问题曝光后，该团队于3月初解散。Toshin将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。据CNN采访的两位专家称，不久之后，3月5日，拼多多发布了其应用程序的新更新版本6.50.0，删除了这些漏洞。据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序Knock之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。团队中的大部分人都被转移到Temu工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。研究更新的Oversecured的Toshin表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。在中国政府从2020年底开始对大型科技公司进行监管打压的背景下，拼多多扩大了其用户群。“这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司TriviumChina的技术政策专家KendraSchaefer说。“他们应该检查拼多多，而他们没有发现（任何东西）的事实让监管机构感到尴尬。”该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。拼多多没有出现在任何一个名单上。——

有消息称，拼多多解散了在应用中加入恶意功能的团队

有消息称，拼多多解散了在应用中加入恶意功能的团队早前，拼多多曾被曝出在其应用中加入提权等恶意功能，导致其被Google封杀。据匿名员工透露，公司曾组建一支由约100人组成的团队，致力于挖掘Android手机漏洞并开发利用方法。这些恶意功能最初只针对农村和小城镇的用户，并通过收集用户数据提高个性化推送效果。该团队于三月初被解散，漏洞利用代码被移除。但安全专家指出，底层代码仍可能被重新激活执行攻击。20名核心网络安全工程师留在公司。

不要脸的 #拼多多：Google修复拼多多利用的漏洞，同时拼多多到处投诉试图删除相关报道

不要脸的#拼多多：Google修复拼多多利用的漏洞，同时拼多多到处投诉试图删除相关报道Google于3月6日发布的2023-03Android安全更新修复多个漏洞，但并未透露细节。昨天有研究机构称CVE-2023-20963就是被拼多多利用的漏洞之一，Google已经修复。同时拼多多公关团队在微信公众平台到处投诉，自称「高度重视并依法维护用户隐私、信息安全权益，一直严格遵守国家关于App运行管理的相关法规」，试图令微信删除相关报道（如图所示）。微信驳回后，拼多多仍重复投诉。我宣布张小龙的暂时复活了。来源：https://ourl.co/98020(备案网站慎点)

拼多多被曝含有恶意程序

拼多多被曝含有恶意程序彭博社周一（27日）报道，俄罗斯杀毒软件公司卡巴斯基（Kaspersky）实验室的安全研究人员，已经识别出中国购物应用程式「拼多多」中包含恶意代码，利用已知的Android漏洞来提升权限、下载和执行其他恶意模块，获得了访问用户通知和文件的权限。谷歌上周从应用商店下架中国购物应用程式「拼多多」。卡巴斯基公司与彭博新闻分享的研究结果对于上周谷歌的行动提供了其中最为清晰的解释。这起安全事件可能会加剧美国有关中国应用程序数据安全的激烈言论。外国版本的拼多多“Temu”在过去几个月中一直是美国苹果应用商店下载量最高的应用程序。但它还没有像字节跳动的TikTok一样成为立法者审查的焦点。原文链接《彭博社》《第一财经》《自由亚洲电台》

Google宣布下架拼多多并利用Google Play保护机制提醒其为恶意软件

#给他们一点小小的中国震撼#拼多多Google宣布下架拼多多并利用GooglePlay保护机制提醒其为恶意软件近日，因攻击用户，超范围收集用户隐私、攻击竞争对手App，GooglePlayStore把拼多多下架了。Google称存在恶意行为的是非Play商店版本，但Google仍然通过保护机制提醒用户删除拼多多（甚至在19日就有用户反应，一觉醒来，拼多多就被Google自动卸载了）。但后续研究表明Play商店版拼多多也会利用云控下发指令以利用系统漏洞进行攻击，所以Google的说法不严谨。（Android13大可放心没你们什么事）

美国 CISA 对被拼多多利用的 Android 漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个Android高危漏洞发出警告。编号为CVE-2023-20963的AndroidFramework漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的Android设备上提权。Google在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3月21日Google从其应用商店下架了拼多多应用。()频道：@TestFlightCN

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人