我们刚刚发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。我们邀请来自多国的技术专家检验了拼多多2月份发布的6.49版本的安装包,其中3家机构详细检验了拼多多的代码,他们在调查中发现,拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。
Check Point Research 的专家表示,拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为com.google.android的文件夹中发现了拼多多的代码。
Sergey Toshin 表示,在他发现的总计约50个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商OEM系统漏洞的,包括三星、华为、小米、Oppo等。
拼多多在3月5日发布的6.50版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
因为从部分未在Google Play 上架的拼多多软件版本中发现了这些恶意代码,谷歌在3月21日宣布将拼多多从其应用商店下架。Google Play保护机制亦将拼多多标记,并阻止用户安装。
拼多多否认其软件中包含恶意代码,并且称谷歌的调查结果是 non-conclusive 非结论性的。
我们采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自2020年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。
在6.50版本发布后的两天,也就是3月7日,原本专门负责针对这些漏洞进行开发的100人左右的团队被突然解散。
这些产品经理和程序员发现自己无法登陆内部通讯软件Knock,他们访问内部数据和文件的权限也被撤销。
这些人绝大部分被转岗去了拼多多的国际版姊妹应用Temu,但是有约20位针对安卓漏洞的核心开发人员仍然还留在拼多多。
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html source
Check Point Research 的专家表示,拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为com.google.android的文件夹中发现了拼多多的代码。
Sergey Toshin 表示,在他发现的总计约50个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商OEM系统漏洞的,包括三星、华为、小米、Oppo等。
拼多多在3月5日发布的6.50版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
因为从部分未在Google Play 上架的拼多多软件版本中发现了这些恶意代码,谷歌在3月21日宣布将拼多多从其应用商店下架。Google Play保护机制亦将拼多多标记,并阻止用户安装。
拼多多否认其软件中包含恶意代码,并且称谷歌的调查结果是 non-conclusive 非结论性的。
我们采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自2020年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。
在6.50版本发布后的两天,也就是3月7日,原本专门负责针对这些漏洞进行开发的100人左右的团队被突然解散。
这些产品经理和程序员发现自己无法登陆内部通讯软件Knock,他们访问内部数据和文件的权限也被撤销。
这些人绝大部分被转岗去了拼多多的国际版姊妹应用Temu,但是有约20位针对安卓漏洞的核心开发人员仍然还留在拼多多。
https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html source
CNN
One of China’s most popular apps has the ability to spy on its users, say experts | CNN Business
While many apps collect vast troves of user data, sometimes without explicit consent, experts say Chinese e-commerce giant Pinduoduo has taken violations of privacy and data security to the next level.