本文只是对有关拼多多app疑似含恶意代码消息的转载与信息整合,仅供在保护个人信息方面的参考和提醒,请仔细辨别真实性。
2月28日
国产APP利用Android漏洞提权使其难以卸载
源地址:<奇客>solidot——国产APP利用Android漏洞提权使其难以卸载——发表时间:2023-03-03——访问时间:2023-04-08点击查看。
国内的一个独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道没有公开相关公司的名字,但称得上巨头也就那四五家公司。报道称,该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。之后,该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。来源:https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
《深蓝洞察:2022 年度十大安全漏洞与利用》第十篇
源地址:dark navy——《深蓝洞察:2022年度十大安全漏洞与利用》第十篇——发表时间:2023-02-28——访问时间:2023-04-08点击查看。有截取。
本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第十篇。
认可白帽黑客价值、走进安全社区,打造安全团队,借助黑客视角提升自身安全能力,这已经成为了行业最佳安全实践之一。
但是,也有少数地下或隐蔽的公司通过招募黑客,用他们掌握的黑客技术寻找并利用漏洞,为自身牟取非法利益。
2022 年,竟有巨头公司打破底线,将白帽黑客作为武器,指向了用户。
2022 年,Google 的 Project Zero 发布了一个在野漏洞利用的分析,警告攻击者已经瞄准各手机厂商的 OEM 代码部分,挖掘出其中的脆弱点和漏洞,组合出了一套完整的提权攻击 Exploit。
三星 OEM 漏洞攻击是一个很典型的案例,可以看出,与 AOSP、上游 Kernel 的漏洞挖掘难度相比,手机厂商 OEM 代码部分的漏洞挖掘难度要低很多,且利用通常也相当稳定。
于是我们经常可以看到,各种间谍软件的作者会频繁利用手机 OEM 代码漏洞作恶。
但 2022 年,有知名互联网厂商竟持续挖掘新的安卓 OEM 相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。
该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,利用了多个安卓手机厂商 OEM 代码中的反序列化漏洞,完成了第一步黑客攻击:提权。
完成了提权,该 App 事实上已经完成了反客为主,通过 App 控制了用户的整个手机系统。
提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等):
之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写。
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载。
随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留。
甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制(最近的韩国电影——虽然只是弄丢了手机)非法行为的启动与暂停,来躲避检测。
最终,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App 的背后,达到了:
-
隐蔽安装,提升装机量
-
伪造提升 DAU/MAU
-
用户无法卸载
-
攻击竞争对手 App
-
窃取用户隐私数据
-
逃避隐私合规监管
等各种涉嫌违规违法目的。
目前,已有大量终端用户在多个社交平台上投诉反馈:该 App 存在莫名安装、泄漏隐私、无法卸载等问题。
这些行为不仅拉低了行业底线,破坏了公平竞争,更严重侵犯了用户的隐私,可能违反相关法律法规。
3月21日
Google 将拼多多应用标记为恶意程序
[源地址:<奇客>solidot——Wilson_ Lookout 确认拼多多的非 Play 版本包含恶意代码——发表时间:2023-03-21——访问时间:2023-04-08](https://www.solidot.org/story?sid=74445)。
Google 周一将拼多多的多个应用标记为恶意程序,Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用,对于已经安装的应用,Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前,中国安全研究人员披露拼多多应用包含有恶意功能,能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。来源:(中国地区无法访问该源文章)https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/
3月27日
Lookout 确认某购物app的非 Play 版本包含恶意代码
[源地址:<奇客>solidot——Wilson_ Lookout 确认拼多多的非 Play 版本包含恶意代码——发表时间:2023-03-27——访问时间:2023-04-08](https://www.solidot.org/story?sid=74503)。
本月早些时候,独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明,表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在,安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示,至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的,利用该漏洞可以提权,而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本,都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码,通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了,鉴于拼多多有数亿用户,受影响的用户数量可能是非常惊人。来源:https://arstechnica.com/?p=1926914
Android app from China executed 0-day exploit on millions of devices
4月3日
拼多多解散了在应用中加入恶意功能的团队
该消息源于<奇客>solidot,有被转发,之后原文现已找不到,转发的一些也被删除,真实性未知,仅供参考。
拼多多在第三方应用商店发行的版本中加入了提权等恶意功能,被曝光之后遭到 Google 的封杀。安全专家表示,他们从未看到过一个主流应用会像拼多多那样做。匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞,开发漏洞利用方法,将其转化为利润。消息源称,拼多多应用的恶意功能最初只针对农村和小城镇的用户,避开北京上海之类大都市的用户,此举旨在降低被暴露的风险。通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。
在被曝光之后该团队于三月初被解散。拼多多是在 3 月 5 日释出 v6.50.0 更新移除了漏洞利用代码。匿名员工称,两天之后开发漏洞利用的团队遭到解散。第三天团队成员发现他们被内部使用的工作通讯应用 Knock 锁定,失去了访问内网文件的权限。工程师访问大数据、数据表和日志系统的权限也被撤销。大部分团队成员被转移到了 Temu,被分配到不同部门,从事营销或开发推送通知的工作。20 名核心的网络安全工程师仍然留在公司。安全专家称,虽然漏洞利用代码移除了,但底层代码仍然留在那里,仍然可以被重新激活去执行攻击。