圈小蛙

流行的中国电子商务巨头“拼多多”的APP应用被谷歌标记为恶意软件

周一,谷歌宣布已将中国电子商务巨头“拼多多”开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

在过去的几周里,多名中国安全研究人员指责“拼多多”——一家拥有近8亿活跃用户的新兴电子商务巨头——为Android系统开发的应用程序包含旨在监控用户的恶意软件

谷歌发言人埃德·费尔南德斯(Ed Fernandez)表示,“已通过Google Play Protect强制阻拦此应用程序的非Play商店版本安装,这些版本被发现包含恶意软件”,他指的是不在Google Play商店里的应用程序。

实际上,谷歌已经设置了Google Play Protect,即其安卓安全机制,以阻止用户安装这些恶意应用程序,并警告那些已经安装的用户,提示他们卸载这些应用程序。

费尔南德斯补充说,谷歌已暂停拼多多在Play商店的官方应用程序,“出于安全考虑,我们将继续调查。”

一位要求匿名的安全研究人员向TechCrunch通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日攻击来攻击他们的用户。

拼多多没有回应置评请求。

在一次测试中,TechCrunch安装了一个可疑的恶意应用程序,谷歌弹出一条消息,警告该应用程序是恶意的。

需要注意的是,Google Play在中国不可用,据匿名安全研究人员称,恶意应用程序出现在手机制造商三星、华为、Oppo和小米的自定义应用程序商店中。

拼多多apk内嵌提权代码,及动态下发dex分析:
https://github.com/davinci1010/pinduoduo_backdoor

「 深蓝洞察 」2022 年度最“不可赦”漏洞:
https://github.com/davinci1010/pinduoduo_backdoor/blob/main/%E3%80%8C%20%E6%B7%B1%E8%93%9D%E6%B4%9E%E5%AF%9F%20%E3%80%8D2022%20%E5%B9%B4%E5%BA%A6%E6%9C%80%E2%80%9C%E4%B8%8D%E5%8F%AF%E8%B5%A6%E2%80%9D%E6%BC%8F%E6%B4%9E.pdf

根据”当 App 有了系统权限,真的可以为所欲为?“:

拼多多App 获取系统权限之后,主要做了下面几件事(正常 App 无法或者很难做到的事情),各种不把用户当人了

自启动、关联启动相关的修改,偷偷打开或者默认打开
开启通知权限
监听通知内容
获取用户的使用手机的信息,包括安装的 App、使用时长、用户 ID、用户名等
修改系统设置
整一些系统权限的工具方便自己使用

Exit mobile version