卡巴斯基确认拼多多 APP 的中国版本中存在恶意代码
总部位于莫斯科的卡巴斯基实验室的安全研究人员在 PDD 的中国购物应用拼多多版本中发现并概述了潜在的恶意软件,此前谷歌将其从其安卓应用商店中下架。
在对恶意代码的首批公开报告之一中,卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用版本,华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。
卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用,该公司表示,它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。
这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致,尽管彭博新闻社尚未证实早期报道的真实性。
这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。 虽然拼多多主要在中国使用,但 PDD 的另一款应用 Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。 它尚未像 ByteDance Ltd. 的 TikTok 那样成为立法者审查的焦点。
1
buyan3303 2023-03-28 08:58:51 +08:00 5
没办法,国内的互联网企业,不从代码上剖析、复现,
他们依然会以“不是近期 APP 代码”、“没有复现”、“恶意猜测”等理由 给搪塞过去。 另外之后再给你发律师函。 如果锤人的是国外的个体或者公司,那么就可以利用 ai 国情绪把这个负面给压下去。 |
2
twofox 2023-03-28 09:01:31 +08:00 50
工信部避重就轻是最令人恶心的,这么大个公司,做出这种侵犯隐私的事情,居然一点声浪都没有。
|
3
linxl 2023-03-28 09:09:33 +08:00 2
转发这个消息会不会收到律师函。。。
|
4
Greenm 2023-03-28 09:24:00 +08:00 40
美国,俄罗斯都看到了,就中国看不到,结合滴滴因为信息安全被处罚的事件来看,中国官方对于老百姓的隐私只在乎是否被境外势力获取,至于境内势力都是自己人,随便卖随便搞,会处罚算我输。
|
5
d873139022 2023-03-28 09:26:05 +08:00 2
这是不是说明 ios 系统管理的更好呢,貌似没看过拼多多在苹果手机上暴露出安全问题
|
7
Ljmac 2023-03-28 09:36:04 +08:00
哈哈哈,毕竟不是滴滴叛国投敌 ,PDD 属于人民内部矛盾
|
9
xinh 2023-03-28 09:41:38 +08:00 12
不,他们并不在乎被谁获取了,只在乎是否影响他们的利益
|
10
guazila 2023-03-28 09:42:09 +08:00
不管别人还用不用,反正我从此不用 PDD 了。这种行为哪像一个大型商业公司,收集隐私明明可以在明面上给个用户协议,我敢说 99%的用户都不会在意的,会点同意,偏要用这种下三滥的手段。
|
11
swulling 2023-03-28 09:45:07 +08:00 via iPhone 14
@d873139022 主要是 iOS 不允许侧载,你看 pdd 在 Play Store 上的版本也没后门。Google 算是提前封禁。
这就是统一应用商店的好处,你敢用 0day ,发现后那就等着被永久下架吧。 所以我坚定支持 iOS 禁止侧载。 |
12
testver 2023-03-28 09:46:12 +08:00
xhao 我只用 IOS ,找我没装 PDD 。
|
13
niolas 2023-03-28 09:50:40 +08:00
昨天已经删除 pdd
|
14
yvescheung 2023-03-28 09:51:06 +08:00 3
PDD 证明了有一个好的后台是多么重要,有了后台,杀人放火都可以是无罪的
|
15
BUHeF254Lpd1MH06 2023-03-28 10:12:18 +08:00 1
@d873139022 iOS 是沙盒机制,APP 能获取的权限非常少,开发者想存个广告唯一标识都得费老大劲各种钻
|
16
jacy 2023-03-28 10:13:49 +08:00
外交部:中俄合作没有止境、没有禁区、没有上限
|
17
dbskcnc 2023-03-28 10:14:29 +08:00 2
@swulling 问题根本不是侧载,是没人管理,各个层面到现在都没一丁点声音,就算要要坛,还不是有不少获取了利益的人在帮着洗地。
我的观点是强奸犯就是强奸犯(还是性质特别恶劣的那种),即使他平时也给大众带来了一点利益。 |
19
VYSE 2023-03-28 10:15:40 +08:00 1
李 X 书记召开的这个会,齐聚 B 站拼多多饿了么等掌门人,共话在线新经济
5-10 年内没人敢动 PDD |
21
IDAEngine 2023-03-28 10:18:57 +08:00 2
证明国内的应用商店都是为国内某些利益集团服务,不是为用户
|
22
qk3z 2023-03-28 10:22:26 +08:00 1
大家一起去工信部的公众号-工信微报投诉 pdd 啊
|
23
websterq 2023-03-28 10:24:47 +08:00
非杠,本人也不咋用 pbb ,只是好奇问一下,为啥:“发现了早期版本的拼多多” 今天突然爆出来,另外早期用 pbb 的不都是大家都用的微信里的小程序吗,现在的 pbb 还有这个问题吗
|
24
kaedea 2023-03-28 10:30:19 +08:00 via Android
按照问题的描述,安装过 pdd 的,卸载都没有,要手机恢复出厂设置。
|
25
dbskcnc 2023-03-28 10:32:14 +08:00
@emSaVya 就事论事,不要扯太远。 别人我是没办法,zf 又不为民处理,个人只能避开流氓并以自己的实际行动(卸载停止使用)谴责之。
|
26
beimenjun 2023-03-28 10:36:25 +08:00 21
感觉 TikTok 要被 PDD 送的子弹给弄死了。
|
27
hazardous 2023-03-28 10:42:08 +08:00 1
一言一行都阐释了这个企业是如何的没有下限,然而不但没有任何惩罚,却赚的盆满钵满,这何尝不是一种鼓励呢。
|
28
dbskcnc 2023-03-28 10:42:58 +08:00 14
@emSaVya 少一些看客行为,这个社会会好上些许。
让您举白纸,估计你不愿意, 停止支持流氓只需要卸载和停止在它上面消费,这么简单的事情,很多人都无动于衷,还一个劲地给它洗地。这个世界有千千万万的罪恶,这并不是给它开脱的理由。 |
29
helloworld2048 2023-03-28 10:46:39 +08:00
企业文化,pdd 内部的 im 软件还要求有手机的控制权呢
|
30
dc25b 2023-03-28 10:47:02 +08:00 1
我知道锅应该还是在产品经理,但我真的好奇,开发这些 feature 的程序员心里什么感受?这种既有开创性又有挑战性的项目经历,跳槽的时候好意思写到简历里吗?
|
31
Microi 2023-03-28 10:58:38 +08:00
谷歌和卡巴斯基都是外国的,他们能定义“恶意”吗?
我怎么看都是善意代码,为了防止用户不小心删除 App 以及防止 App 不读取隐私导致广告推得不合适,是为用户好。😎 |
32
pcmgr456 2023-03-28 11:04:57 +08:00 4
pdd 在国内后台很硬的,不然为啥这么嚣张,各种标题党欺诈活动,国内想告 pdd 的人多了去了,你看有几个争取到合法权益的,pdd 在海外就乖多了,说送钱就真的送钱,不然老外可就不客气了
|
33
calano 2023-03-28 11:05:38 +08:00 1
|
34
swulling 2023-03-28 11:08:58 +08:00 1
@dbskcnc
> 问题根本不是侧载,是没人管理,各个层面到现在都没一丁点声音,就算要要坛,还不是有不少获取了利益的人在帮着洗地。 只要有管理,就有权力寻租。宁愿相信商业公司 Apple 的操守,也不信任某个 xx 部门能够高效且有效的应对这种事情。 所以本质就是宁愿让商业公司比如 Apple 掌握 App 上下架的权力,也不愿意让 xx 部门掌握。 一问就是加强监管,越管越死。 |
35
fengleiyidao 2023-03-28 11:09:16 +08:00
抵制俄国公司,支持乌克兰娜🇺🇦
|
36
0o0O0o0O0o 2023-03-28 11:17:08 +08:00 via Android 13
@websterq #23
其实并不早期,「 DarkNavy 」一个月前 2023-02-28 发的: https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 当时只在安全圈子热度高,过了近一周 2023-03-05 该 APP 才发了新版避风头(对这种企业,不分析你都很难确定是真删掉了还是加强了混淆和保护,动态下发的文件不让下载了连证据你都不好拿)。 其实昨天引爆此事的 sunwear 在「一个月前」也发了微博,只不过在意的人有限,毕竟这种专业知识并不常规,包括很多数码爱好者甚至大部分开发者也都很难意识到这是一场「骇人听闻的黑客攻击事件」。后来被 Google play 下架、被「非中国」新闻媒体报道,直到被卡巴斯基这种大众熟知的老牌安全品牌提及。 该 APP 灰黑产风格已久,没看到有相关部门管过。V2EX 也有过其它方面的讨论: https://v2ex.com/t/887582?p=1 一个月了,最该站出来保护中国人的那些人毫无作为,连声音都没有。如果这算给境外势力递刀子,那我只希望多来点。 https://github.com/davinci1010/pinduoduo_backdoor https://github.com/davinci1012/pinduoduo_backdoor_unpacker https://github.com/davincifans101/pinduoduo_backdoor_detailed_report |
37
Bad0Guy 2023-03-28 11:18:32 +08:00
没用啊,当初 Google play 下架 pdd 这事儿新闻出来的那天,我眼睁睁看着上一秒文章还在 IT 之家的新闻报道里,下一秒刷新了显示“该文章不存在,404”,再看看今年的 315 ,你指望那帮人干人事?什么你法我笑
|
38
shwnpol 2023-03-28 11:35:31 +08:00
国产 app 全部消失了也不影响我的生活,包括微信支付宝:)
|
39
qbox 2023-03-28 11:48:04 +08:00 1
用个漏洞干个增加日活促成交的事情,洒洒水而已。更深层次的信息监控,那可是全局的
|
40
polobug 2023-03-28 11:51:41 +08:00
@dbskcnc 是的 应该向美国那边学习,直接禁用抖音,避免隐私泄漏
或者是 facebook 在英国的数据操纵几年后才发现一样, |
42
kaedea 2023-03-28 12:24:54 +08:00 via Android
有没有 pdd 的技术现身说法?这种需求产品是怎么跟技术沟通的?打哑谜啊?
|
43
flyflyfly14 2023-03-28 12:30:01 +08:00
垃圾公司 垃圾 APP
|
44
FightPig 2023-03-28 12:34:55 +08:00
好奇是不是论坛的哪个程序员写的
|
45
cirzear 2023-03-28 12:37:52 +08:00
看完赶紧卸载了,这行为不就是病毒么
|
46
hhjswf 2023-03-28 12:39:58 +08:00 via Android
这已经是犯罪了,负责人要坐牢的,比滴滴严重多了
|
47
QWE321ASD 2023-03-28 12:45:04 +08:00
有没有什么办法把腾讯的老版本搞过去揭发下,当年 3q 大战腾讯依靠背后力量一直坚持扫盘到今天,真实恶心人。我已经在蓝鸟上用 tiktok 和 temu 的 tag 揭发腾讯的劣迹了。
|
48
0x6c696e71696e67 2023-03-28 13:04:44 +08:00 7
有没有人研究过国家反诈这个 APP ,感觉这里面有不少私货
|
49
dko 2023-03-28 13:40:13 +08:00
法不入长宁
|
50
Leonard 2023-03-28 13:46:23 +08:00
现在看微博热搜没有啊,pdd 还是有钱啊,热搜撤得挺快
|
51
heishu 2023-03-28 13:56:24 +08:00
@0x6c696e71696e67 这可不兴研究啊
|
52
tyzandhr 2023-03-28 14:02:13 +08:00 via Android
@0x6c696e71696e67 研究了也不敢说出来啊
|
53
KIzuN1 2023-03-28 14:06:14 +08:00
@0x6c696e71696e67 想戴镯子了是吧
|
54
JL1990 2023-03-28 14:09:52 +08:00
是不是只能手机恢复出厂设置才能完全卸载
|
55
deesan 2023-03-28 14:43:53 +08:00
理论上:这足以造成拼多多的滑铁卢,让拼多多的信用归 0 ;
现实中:长宁必胜客; |
57
w99wjacky 2023-03-28 15:03:55 +08:00 1
@v135ex 安卓也有沙盒机制的,PDD 是用的系统漏洞提权。
iOS 也有系统漏洞,不过因为都是 APP Store 分发,大公司也没这个胆子,小公司没这个技术 |
58
jalen 2023-03-28 15:20:15 +08:00
洗洗睡, 几天就过去了。
|
59
daquandiao2 2023-03-28 15:28:20 +08:00
|
61
32 2023-03-28 15:34:05 +08:00 1
@daquandiao2 不到 5 分钟, 已经跳不过去了
|
62
6IbA2bj5ip3tK49j 2023-03-28 15:37:01 +08:00
境外势力又来抹黑中国厂商了。一定是 PDD 的保活技术打破了国外的垄断!
|
63
Celebi 2023-03-28 15:38:06 +08:00 via iPhone
@0o0O0o0O0o #36 所以更新 app 到 2023-03-05 之后的版本或者更新系统到 Android 13 就可以解决这个问题了吧?
|
64
chaoshui 2023-03-28 15:40:33 +08:00
@daquandiao2 你似乎来到了没有知识的荒原 #doge
|
65
vonxing 2023-03-28 15:40:49 +08:00
@daquandiao2 这么快就知识的荒原了...
|
66
Xianmua 2023-03-28 15:58:32 +08:00
@0x6c696e71696e67 个人的观点是,当已经开始怀疑一个东西的时候,最好的选择就是不要用,离得越远越好。帖子这类事儿,没后续是大概率的,想不通的可以反复思考这句话,"一切以经济建设为中心",多的就不说了
|
67
yyyh 2023-03-28 16:05:53 +08:00 1
热搜已经不见……
|
68
gniviliving 2023-03-28 16:23:59 +08:00
@yvescheung #14 从来都是杀人放火金腰带,修桥补路无尸骸
|
69
TubroRock 2023-03-28 16:23:59 +08:00 2
“京海这么多年,花了这么多钱,不就是今天用的吗”
|
70
euph OP @Celebi 理论上说直接更新不能解决问题,更新 app 版本也不能,因为这个时候应用已经获得权限了
|
71
ooooo 2023-03-28 17:40:27 +08:00
所有的安卓手机,如果不是安卓 13 ,无一能幸免吧?
Google Play 上的版本也有后门吗 ? |
72
sqzdy8 2023-03-28 20:23:30 +08:00
拼多多 app 有些功能确实不怎么样
|
73
passall 2023-03-28 20:34:23 +08:00
来源怎么不是“卡巴斯基”的网站?
|
74
WinG 2023-03-28 21:03:17 +08:00
普遍违法,选择执法.
|
75
Ankommen 2023-03-28 22:16:16 +08:00
我的已经被 Google play 自动卸载了。
|
76
dbskcnc 2023-03-28 22:17:54 +08:00 via Android
这里有个详细的文档, pdd 是相当深入, 触目惊心, 这样的 app 不卸载还待何时.
https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf |
77
pipilu 2023-03-28 22:36:56 +08:00
android12 以下千万不要安装 PDD
|
78
boatrain1111 2023-03-28 22:40:05 +08:00
iOS 做得好
|
80
ewagnmoscy 2023-03-29 01:08:20 +08:00
@ooooo 一样的,google play 前几天不仅是下架,还检测你手机里有没有安装,无论来源是不是从 play 商店安装都强制卸载掉
|
81
BZGOGO 2023-03-29 06:45:18 +08:00 via iPhone
换 iPhone 喽……要说窃取隐私,最明目张胆的莫过于反诈 app
|
82
CSGO 2023-03-29 09:13:05 +08:00
在中国,只看手机验证码,我都没办法验证是我账号,只有手机验证码。
|
83
neoblackxt 2023-03-29 13:51:14 +08:00
@guazila 他可不止收集通常意义上用户的愿意分享的那些数据,你的聊天记录,app 使用记录,各种搜索记录,你愿意分享吗,就算用户愿意,那些被攻击的 APP 厂商都不愿意。太无耻了,这家公司的软件已经没法用了,就算升级系统了又怎样,他们会继续挖掘新系统的漏洞,使用下三滥的手段他们轻车熟路。
|
84
neoblackxt 2023-03-29 13:55:27 +08:00
安全厂商就盯着 PDD 就行了,花活多着呢,没准还能学着新东西。谁才是安全大厂阿,PDD:没错,正是在下。
|
85
ColorRabbit 2023-03-29 15:09:20 +08:00
pdd 卡老外脖子了 所以要封他 手动狗头
|
86
0o0O0o0O0o 2023-03-31 16:03:32 +08:00 via iPhone
@neoblackxt #84 可怕的事实是:你为什么会觉得国内的安全厂商、互联网大厂、手机厂商对此事不知情?
|
87
neoblackxt 2023-03-31 21:20:41 +08:00
@0o0O0o0O0o 应该说内的安全厂商、互联网大厂、手机厂商中大多数对此事禁声,而且发声的第一财经文字稿被撤稿 404 ,保留了视频稿(忘了撤?),只有少数国内厂商 darknavy 和个人发声揭露,有的还不能直接提及名讳。这背后的能量是巨大的。上次那个拍加班同事被送上救护车照片的在脉脉上匿名发帖却被直接定位到人的员工被迅速开除,HR 姿态逆天,说明这家公司除了流氓之外还报复心极强,无法无天!什么网络安全法,非法侵入计算机系统罪,在这个公司面前就是废纸一张。
|
88
0o0O0o0O0o 2023-03-31 21:55:14 +08:00
@neoblackxt #87 装聋作哑的监管、某多的肆意妄为是丑陋的,这是毋庸置疑的。
我的观点是,这些厂商的噤声也很可疑: 1. 我确信它们知道某多作的恶; 2. 看分析报告也可以知道,某多已经直接侵犯到它们的产品,对这些厂商来说,就算不奢求做生意的人讲道德,那起码要讲利益吧?它们完全可以以别的商业理由起诉,而不只是网络发声(事实上连网络发声也没有)。 所以我只能认为知情不报的安全厂商、互联网大厂、手机厂商与某多是一丘之貉,均不值得信任。 |
89
workingonescape 2023-04-24 10:43:08 +08:00
“所以我只能认为知情不报的安全厂商、互联网大厂、手机厂商与某多是一丘之貉,均不值得信任。”,国内的 OV 可是 PDD 的兄弟啊,OVP 三家的老板都是步步高段老板的弟子,哪能兄弟阋墙
|
90
weirking 273 天前
发现大厂的软件,电脑上也是,到处搜隐私,没人管
|