圈小蛙

毫无节操,网传“某多多”的一些八卦故事

几周前,谷歌宣布已将中国电子商务巨头“拼多多”开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

一些专业分析文章透露:拼多多app中“内置”了用于攻击安卓手机厂商自带应用的Bundle风水漏洞(含OPPO、VIVO、华为、小米、三星等手机厂商),获取系统级StartAnyWhere 能力,从而完整控制用户手机,用于定向获取用户数据、自动启动、防卸载等。

该文章称:拼多多app近几年的版本都有问题,6.10之后的版本尤其嚣张,直接将漏洞利用代码打包到apk中,最新的6.50版因被曝光利用漏洞,删除了apk包中的漏洞利用代码。拼多多app为了能读取文件,就要针对不同厂商手机进行”适配“(挖洞?),工作量巨大,听说招了一百多人来做“手机厂商定向优化“,“非常辛苦”。他们要借助众多系统应用实现 读写文件、安装卸载应用、修改应用权限 等一系列功能。

近期,圈小蛙又从另一个Github项目中看到了一些八卦故事。该项目中,作者结合前人的脱壳及分析经验,利用从拼多多app中提取的恶意代码,现实获取用户手机中登录的微博账号功能。演示了拼多多app如何利用漏洞攻击用户手机,取得高权限,从而获取用户数据等操作。

该作者表示:致敬对抗网络黑恶势力的安全研究前辈,抨击拼多多毫无底线的行为。

第一个故事:

最近Google将拼多多app识别为恶意软件,封了拼多多的Google账号,在Google Play下架拼多多app,还自动删除用户手机中的拼多多,还好拼多多和TEMU的Google账号是分离的,TEMU保住了一命。实际上,早在一年前,国内手机厂商们就陆续发现拼多多app的问题,某些手机厂商还在其应用市场下架拼多多app长达数月。

国内手机厂商们是怎么发现拼多多app攻击用户手机的?因拼多多app在用户手机中肆无忌惮的用漏洞操作 系统文件及应用,删除及篡改关键系统文件,导致许多用户手机不断崩溃重启,无法开机,用户找手机厂商售后,投诉手机质量问题,拼多多app的恶意行为也被厂商发现。

第二个故事:

拼多多在社区团购业务(也就是多多买菜)的百团大战中大获全胜,市场份额第一,这里有个很有意思的故事。一年前,拼多多在北方某县城,和其他公司的买菜业务打得难舍难分,拼多多的百人神秘团队祭出奇招(ppd rocket),通过拼多多app中的神奇代码,识别到该地区用户使用其他公司的社区团购应用,则强行消耗手机的cpu,让手机卡顿,用户难以正常使用其他公司的社区团购,使拼多多在该地区获得用户“广泛好评”。

更奇葩的是,拼多多app还修改了手机系统统计的耗电量数据,避免自己做的手脚被普通用户发现,还能栽赃到其他应用身上,修改耗电量统计数据的代码,在其他大牛公开的拼多多恶意代码中还能看到。

只想问四个字,节操何在?

Exit mobile version