微闻

标签: 拼多多

  • 拼多多修复漏洞问题

    有微博网友说,拼多多在被爆出APP非法利用漏洞侵犯用户隐私后已在最新的版本中去掉了非法提权有关的代码。另外有TG频道说云控部分代码被混淆处理了,未被剔除。

    代码混淆是将计算机程序的源代码转换成功能上等价,但是人工难于阅读和理解的形式的一种行为。

  • 拼多多 APP 侵犯用户隐私

    研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控

    注:据信该APP指的是“拼多多”

    微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。

    该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。

    提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)

    之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;

    进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;

    随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;

    甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

    —— 深蓝洞察

  • 拼多多短链接被第三方服务商取代

    有 V2EX 用户发现,拼多多分享的助力链接域名并不是自己所有,而是使用了相当多的第三方短链接作为自己的助力链接。这些链接会跳转到腾讯云对象存储这样的临时地址向用户显示推广结果及宣传材料。

    拼多多采用的短网址和图床庞杂,这样做可以极大地避免被微信系统屏蔽。即使被封,后果也是由这些被选用的第三方服务商承担的。拼多多是滥用三方服务的集大成者。

  • 拼多多利用第三方短链接

    拼多多利用第三方短链接

    有 V2EX 用户发现,拼多多分享的助力链接域名并不是自己所有,而是使用了相当多的第三方短链接作为自己的助力链接。这些链接会跳转到腾讯云对象存储这样的临时地址向用户显示推广结果及宣传材料。

    拼多多采用的短网址和图床庞杂,这样做可以极大地避免被微信系统屏蔽。即使被封,后果也是由这些被选用的第三方服务商承担的。拼多多是滥用三方服务的集大成者。

  • 拼多多在疫情后成为最大赢家

    拼多多在疫情肆虐下成为最大赢家

    随着中国消费者在大流行病肆虐的经济中抑制其支出,一家折扣电子商务公司正在成为股市的明显赢家。

    销售从杂货到美容产品的拼多多公司的股票在过去一个月里飙升了43%,在纳斯达克金龙中国指数中排名第一,该指数下滑了0.9%。该股目前已从3月份的低点反弹了167%,超过了包括阿里巴巴集团控股有限公司和京东公司在内的竞争对手。

    —— 彭博社

  • 淘宝、京东、拼多多用户大量泄密数据被发现

    中国电商平台大量泄密数据在TG贩售

    淘宝、京东、拼多多用户数据疑似出现泄露,淘宝泄露源疑似为21年6月的淘宝11亿爬虫数据,京东与拼多多未知。(京东与拼多多用户名使用场景少,网络上找不到测试ID)

    根据笔者测试,在网络上随机选取多个淘宝ID进行查询,均查询到了准确的个人信息,测试最早追溯可达2020,实际最新未知(估记最新到2021年6月左右)。预计数据量10亿+,查询一次价格约为29U。

    此次泄露范围极广,大多数淘宝使用者均被命中,且此查询此信息的机器人目前已在telegram中部署完成,据发文前该机器人官方频道已有1127人关注,预计将大范围在telegram中传播。

    此外机器人可以查询贴吧/QQ数据等数据,其中贴吧数据较新,与前几年高三学生跑出的贴吧数据不同,来源未知。

    其他查询数据与目前已泄露数据无异。至于学信等信息未进行验证,数据量应该不大。

    —— CN_Privacy

    (为保护隐私以及防止诈骗,评论中禁止发布任何社工库机器人信息)

  • 光明正大的拼多多

    光明正大的拼多多

    拼多多,光明正大,理直气壮,无所畏惧,万寿无疆。

  • 拼多多2020年财报

    拼多多2020年交易额1.67万亿元:活跃买家7.88亿 超阿里成第一

    拼多多今日发布了2020年第四季度和全年财报,各项数据增势强劲,尤其是买家规模创造了历史。

    2020年第四季度,拼多多收入265.48亿元,高于市场预期的192.16亿元,同比更是大涨146%,净亏损13.76亿元,同比收窄22.4%。

    2020年全年,拼多多收入594.92亿元,同比增长97%,净亏损71.80亿元,同比微增3%。

    2020年,拼多多的GMV(交易总额)达到16676亿元,相比上年的10066亿元大幅增长66%。

    —— 驱动之家

  • 拼多多被指涉嫌故意造成员工猝死被知乎小管家打脸

    拼多多被指涉嫌故意造成员工猝死被知乎小管家打脸

    拼多多在知乎回答「员工猝死」问题后秒删,后称截图系谣言。

    知乎小管家反辟谣打脸拼多多。谁给翻译翻译什么叫TMD惊喜?