拼多多被谷歌以恶意软件下架,安全机构称某APP利用安卓漏洞偷窥用户隐私。 | 您所在的位置:网站首页 › 软件漏洞怎么说 › 拼多多被谷歌以恶意软件下架,安全机构称某APP利用安卓漏洞偷窥用户隐私。 |
3 月 20 日,拼多多发布了 2022 年全年财报,成绩可谓亮瞎了眼。 财报显示,2022 年拼多多总营收为 1305.576 亿元,相比 2021 年增长 39%,其中净利润暴增 306%。 拼多多暴增利润,暴增的用户增长背后有什么不为人知的原因吗? 3月21日,彭博社报道,由于发现拼多多APP存在恶意软件问题,谷歌已暂时将该应用从商店下架。 谷歌公司发言人埃德·费尔南德斯在一份声明中表示,将拼多多APP下架是一种安全预防措施。这名发言人还称,谷歌的软件防护服务Google Play Protect将会阻止用户从谷歌商店中下载拼多多的APP,并且已经下载了该APP的用户也会收到警告,提示他们进行卸载。 究竟是什么样的恶意软件,让Goole完全给拼多多面子呢? 国内安全机构:深蓝DarkNavy报告如下: 2022 年,Google 的 Project Zero 发布了一个在野漏洞利用的分析,警告攻击者已经瞄准各手机厂商的 OEM 代码部分,挖掘出其中的脆弱点和漏洞,组合出了一套完整的提权攻击 Exploit。 但 2022 年,有知名互联网厂商竟持续挖掘新的安卓OEM 相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。 以下技术分析和截图,均来自此刻正发生在数以亿计手机上的真实案例。相关敏感信息已经过处理。 该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞,实现0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。 上下滑动查看案例相关代码 上图即是其漏洞利用链中的核心环节,利用了多个安卓手机厂商 OEM 代码中的反序列化漏洞,完成了第一步黑客攻击:提权。 提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等): 上下滑动查看案例相关代码 之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载; 随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留; 甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。 上下滑动查看案例相关代码 最终,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App的背后,达到了: 隐蔽安装,提升装机量 伪造提升DAU/MAU 用户无法卸载 攻击竞争对手App 窃取用户隐私数据 逃避隐私合规监管 等各种涉嫌违规违法目的。 目前,已有大量终端用户在多个社交平台上投诉反馈:该 App 存在莫名安装、泄漏隐私、无法卸载等问题。 2021 年施行的《网络产品安全漏洞管理规定》第四条明确规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”在《网络安全法》、《个人信息保护法》中,对于此类行为也有针对性规定,并明确了相关法律责任。2 月 27 日,工信部发布了26 条措施,聚焦 APP 安装卸载、服务体验、个人信息保护、诉求响应等,针对性地提出了改善措施;同时对 APP 开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业细致地划分了责任。 还记得,2年前,15岁浙江大学少年班,22岁获世界冠军的天才黑客,前腾讯科恩实验室高级研究员,前xixi安全团队老大、资深安全专家,Flanker。疑似因为拒绝违法攻击被xixi开除。 有一个石锤的案例,21年1月,有网友称该APP将其手机相册里的照片删除,被vivo手机系统检测到,一开始并夕夕不承认,最后12日晚间,迫于舆论压力终于承认删除用户图片。 如果以上内容属实 那么拼多多利润暴增背后不为人知的秘密就昭然若揭了 我们期待拼多多的回应 欢迎关注加*加入我们讨论 企业服务IT圈:聚焦全球ToB领域:甲方. 厂商. 集成商. 服务商. 渠道. ISV等生态,分享业内干货,打造中国第一企业服务技术内容社区和社交平台。我们根据粉丝真实岗位情况,分别设置:创业高管微信群/运维技术专家群/架构师之家/DevOps技术专家汇/ToB企业销售互助会/ToB厂商市场人俱乐部,并为大家提供技术咨询,营销策划.招聘及工作推荐等服务。请大家扫码或者添加微信:tian1tiant,(备注个人真实职业身份信息邀请不同岗位微信群)。公众号官方网站:http://qidao123.com,了解更多,ToB企业服务之家,社交平台,限时注册体验更多服务! |
CopyRight 2018-2019 实验室设备网 版权所有 |