俄罗斯的卡巴斯基还是耿直,确认了拼多多的脏事。
这个事情第一个爆出来的是 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 不点名的指出有上亿装机量的app像病毒一样给手机安装后门,收集用户个人信息。包括聊天记录,浏览记录,消息,通知,gps,Wi-Fi信息。你能想的到的隐私数据。
后来有安全人员,分析指出这个app就是拼多多。并做了非常详细的分析,发布了中英双语的报告。
https://github.com/davincifans101/pinduoduo_backdoor_detailed_report
详细阐述了android版拼多多是如何偷隐私,装后门的事情。
https://github.com/davinci01010/pinduoduo_backdoor_x
拼多多采取的策略是
1. 拼多多火速销毁证据。
2. 否认深蓝报告说的就是pdd。
但是爆料者明显有备而来,估计report到Google那边去了,然后google确认后,把拼多多从google商店下架了。
卡巴斯基今天出来又拍了一块砖,以其专业性确认了拼多多确实在装后门。
这个漏洞非常强大:基本上可以完全控制你的android。锁bootloader的android手机也一样。因为pdd是用的0day。
好几年前,阿里巴巴如日中天到时候,一直有人质问上海为什么出不了阿里巴巴。上海憋了一肚子气,结果出来一个拼多多。
仗着地方政府的撑腰,横行霸道。假冒伪劣,盗版侵权横行,砍一刀欺诈。没想到它还长期玩这种黑客手段。真的牛逼!
这个事情,微博上的日娃跳出来质问有关监管部门为何视而不见。我觉得他估计很快要被禁言了。
另外拼多多和国内安全圈子有个陈年多恩怨。 就是国内有个天才白帽黑客,15岁浙大。19岁杀进defcon决赛的flanker,因为不愿意违法犯罪,放弃进亿的期权,从拼多多离职了。 这件事情惹了众怒。
这次的中英文研究报告,一看就是业内人干的。
take away:
1. 尽量不要使用拼多多系产品。
以前在网上有个骗局就是1块钱买个usb hub/鼠标这种东西。收不到也会给你退钱。你惦记他的鼠标。他惦记你的个人信息。
2. 尽量使用iPhone。 source
这个事情第一个爆出来的是 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 不点名的指出有上亿装机量的app像病毒一样给手机安装后门,收集用户个人信息。包括聊天记录,浏览记录,消息,通知,gps,Wi-Fi信息。你能想的到的隐私数据。
后来有安全人员,分析指出这个app就是拼多多。并做了非常详细的分析,发布了中英双语的报告。
https://github.com/davincifans101/pinduoduo_backdoor_detailed_report
详细阐述了android版拼多多是如何偷隐私,装后门的事情。
https://github.com/davinci01010/pinduoduo_backdoor_x
拼多多采取的策略是
1. 拼多多火速销毁证据。
2. 否认深蓝报告说的就是pdd。
但是爆料者明显有备而来,估计report到Google那边去了,然后google确认后,把拼多多从google商店下架了。
卡巴斯基今天出来又拍了一块砖,以其专业性确认了拼多多确实在装后门。
这个漏洞非常强大:基本上可以完全控制你的android。锁bootloader的android手机也一样。因为pdd是用的0day。
好几年前,阿里巴巴如日中天到时候,一直有人质问上海为什么出不了阿里巴巴。上海憋了一肚子气,结果出来一个拼多多。
仗着地方政府的撑腰,横行霸道。假冒伪劣,盗版侵权横行,砍一刀欺诈。没想到它还长期玩这种黑客手段。真的牛逼!
这个事情,微博上的日娃跳出来质问有关监管部门为何视而不见。我觉得他估计很快要被禁言了。
另外拼多多和国内安全圈子有个陈年多恩怨。 就是国内有个天才白帽黑客,15岁浙大。19岁杀进defcon决赛的flanker,因为不愿意违法犯罪,放弃进亿的期权,从拼多多离职了。 这件事情惹了众怒。
这次的中英文研究报告,一看就是业内人干的。
take away:
1. 尽量不要使用拼多多系产品。
以前在网上有个骗局就是1块钱买个usb hub/鼠标这种东西。收不到也会给你退钱。你惦记他的鼠标。他惦记你的个人信息。
2. 尽量使用iPhone。 source
👍16❤3
深度|从阮晓寰到“编程随想”:一个普通公民和“极客”如何成了“国家的敌人”?
这是中国最知名的互联网博主之一,却仅仅因为网络发帖就一步步成为“国家的敌人”,并于近日被判处7年重刑。让我们通过这篇深度报道,一起来了解他的故事。
https://ngocn2.org/article/2023-03-29-program-think-enemy-of-the-state/ source
这是中国最知名的互联网博主之一,却仅仅因为网络发帖就一步步成为“国家的敌人”,并于近日被判处7年重刑。让我们通过这篇深度报道,一起来了解他的故事。
https://ngocn2.org/article/2023-03-29-program-think-enemy-of-the-state/ source
🙏4
3月31日,韩国前总统全斗焕的孙子全宇元与1980“光州事件”受害者家属见面,并代替爷爷下跪道歉。
据悉,全宇元近日来一直在社交平台发表言论,谴责祖父全斗焕是屠夫、罪犯,而非守护国家的英雄。
甚至还披露了家族的秘密资金状况,以及家族成员涉嫌贪污贿赂等犯罪行为。亦提到他自己能在美国留学和工作,也全因家族来历不明的巨额资金。此外,他也承认自己有吸毒史。
“光州事件”是1980年5月18日至27日期间,在韩国光州及全罗南道地区,当地市民自发组织的一次民主运动。当时掌握军权的陆军中将全斗焕下令以武力镇压这次运动,造成大量平民和学生的死伤。
在全斗焕总统任期内,当局将这一事件定义为共产党同情者和暴徒煽动的叛乱。但随着韩国政治的发展,在20世紀90年代此事件被平反。 source
据悉,全宇元近日来一直在社交平台发表言论,谴责祖父全斗焕是屠夫、罪犯,而非守护国家的英雄。
甚至还披露了家族的秘密资金状况,以及家族成员涉嫌贪污贿赂等犯罪行为。亦提到他自己能在美国留学和工作,也全因家族来历不明的巨额资金。此外,他也承认自己有吸毒史。
“光州事件”是1980年5月18日至27日期间,在韩国光州及全罗南道地区,当地市民自发组织的一次民主运动。当时掌握军权的陆军中将全斗焕下令以武力镇压这次运动,造成大量平民和学生的死伤。
在全斗焕总统任期内,当局将这一事件定义为共产党同情者和暴徒煽动的叛乱。但随着韩国政治的发展,在20世紀90年代此事件被平反。 source
👍14🙏1
This media is not supported in your browser
VIEW IN TELEGRAM
韩国电影《出租车司机》讲的是1980年的光州事件,韩国民众和大学生因不满当局,怒而上街。军中强人全斗焕下令开枪,死伤很多人。
影帝宋康昊出演出租车司机,他从自私、懦弱、反感学生,到被真相冲击,人性迸发,奋勇帮助一名国际记者把真相传播到了全世界。
电影拍摄手法朴实,但感人而震撼,有时如小刀剜肉,有时如重锤砸顶,不知不觉,泪如长河。
日前,全斗焕的孙子全宇元向遇难者家属和公众下跪,他说爷爷是杀人凶手,代其道歉。
我看过外国政客向民众下跪,看过外国足协官员向球迷下跪,看过外国艺术家向粉丝下跪,现在又看过了凶手后代下跪。
在我的祖国,我只看到过访民向官员下跪。 source
影帝宋康昊出演出租车司机,他从自私、懦弱、反感学生,到被真相冲击,人性迸发,奋勇帮助一名国际记者把真相传播到了全世界。
电影拍摄手法朴实,但感人而震撼,有时如小刀剜肉,有时如重锤砸顶,不知不觉,泪如长河。
日前,全斗焕的孙子全宇元向遇难者家属和公众下跪,他说爷爷是杀人凶手,代其道歉。
我看过外国政客向民众下跪,看过外国足协官员向球迷下跪,看过外国艺术家向粉丝下跪,现在又看过了凶手后代下跪。
在我的祖国,我只看到过访民向官员下跪。 source
❤8
2021年5月10日中午12点左右,上海杨浦区,贝女士家的门铃响起。她以为是上午叫的送水工到了,没有多想,便喊当时在书房里的丈夫阮晓寰前去开门。过了一会,她听到门口传来“不许动”和轻微扭打声,她赶紧跑到门口,才发现大门敞开,不见丈夫的身影,而一名身形瘦削的男子径自闯入家中。 dlvr.it/Slj3nB source
中国数字时代
NGOCN|从阮晓寰到“编程随想”:一个普通公民和“极客”如何成了“国家的敌人”?
45岁的阮晓寰,一个妻子眼中的理想主义者,酷爱读书的技术天才。一个关心社会公正的普通人,如何仅仅因为网络发帖就一步步成为“国家的敌人”,并于近日被判处7年重刑?
🙏7👍2
我们刚刚发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。我们邀请来自多国的技术专家检验了拼多多2月份发布的6.49版本的安装包,其中3家机构详细检验了拼多多的代码,他们在调查中发现,拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。
Check Point Research 的专家表示,拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为com.google.android的文件夹中发现了拼多多的代码。
Sergey Toshin 表示,在他发现的总计约50个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商OEM系统漏洞的,包括三星、华为、小米、Oppo等。
拼多多在3月5日发布的6.50版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
因为从部分未在Google Play 上架的拼多多软件版本中发现了这些恶意代码,谷歌在3月21日宣布将拼多多从其应用商店下架。Google Play保护机制亦将拼多多标记,并阻止用户安装。
拼多多否认其软件中包含恶意代码,并且称谷歌的调查结果是 non-conclusive 非结论性的。
我们采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自2020年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。
在6.50版本发布后的两天,也就是3月7日,原本专门负责针对这些漏洞进行开发的100人左右的团队被突然解散。
这些产品经理和程序员发现自己无法登陆内部通讯软件Knock,他们访问内部数据和文件的权限也被撤销。
这些人绝大部分被转岗去了拼多多的国际版姊妹应用Temu,但是有约20位针对安卓漏洞的核心开发人员仍然还留在拼多多。
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html source
Check Point Research 的专家表示,拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为com.google.android的文件夹中发现了拼多多的代码。
Sergey Toshin 表示,在他发现的总计约50个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商OEM系统漏洞的,包括三星、华为、小米、Oppo等。
拼多多在3月5日发布的6.50版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
因为从部分未在Google Play 上架的拼多多软件版本中发现了这些恶意代码,谷歌在3月21日宣布将拼多多从其应用商店下架。Google Play保护机制亦将拼多多标记,并阻止用户安装。
拼多多否认其软件中包含恶意代码,并且称谷歌的调查结果是 non-conclusive 非结论性的。
我们采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自2020年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。
在6.50版本发布后的两天,也就是3月7日,原本专门负责针对这些漏洞进行开发的100人左右的团队被突然解散。
这些产品经理和程序员发现自己无法登陆内部通讯软件Knock,他们访问内部数据和文件的权限也被撤销。
这些人绝大部分被转岗去了拼多多的国际版姊妹应用Temu,但是有约20位针对安卓漏洞的核心开发人员仍然还留在拼多多。
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html source
CNN
‘I’ve never seen anything like this:’ One of China’s most popular apps has the ability to spy on its users, say experts
While many apps collect vast troves of user data, sometimes without explicit consent, experts say Chinese e-commerce giant Pinduoduo has taken violations of privacy and data security to the next level.
👍3