近日,据南方日报报道,国内知名独立数据安全研究服务机构深蓝 DarkNavy 日前发布一则报告称,有知名互联网厂商通过挖掘安卓厂商 OEM 代码中的反序列化漏洞攻击用户手机,窃取竞争对手软件数据,以防止自身被卸载。
一石激起千层浪,消息随后被各路大牛和广大网友热议。通过仔细对比和验证,网友发现该软件竟然是拼多多。而其利用的则是 Android 系统的漏洞。
DarkNavy 将这个漏洞称为「 2022 年度最“不可赦”漏洞」,并将其刊登在了《 2022 年度十大安全漏洞与利用》报告的第十篇。
说实话要找到完整的漏洞提权方法并实现,不是一件容易的事,但拼多多做到了。
为此,DarkNavy 报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,拼多多即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息,包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等。
来源:
https://www.chiphell.com/thread-2501143-1-1.html