微闻

标签: 拼多多

  • 华为手机上的拼多多APP被Google删除

    华为手机上的拼多多APP被Google删除

    Google Play 卸载了鸿蒙系统上的拼多多APP

    在 Google 将拼多多 在 Play 应用商店下架并标注为恶意软件后,一些鸿蒙系统的用户手机出现了一些异常。

    推特用户 luolei 说:Google 把我华为手机上的拼多多给卸载了,在我们鸿蒙系统上胡作非为,谁给他权限删我应用的!

  • 卡巴斯基发现拼多多APP中的恶意代码

    卡巴斯基确认拼多多APP的中国版本中存在恶意代码

    总部位于莫斯科的卡巴斯基实验室的安全研究人员在PDD的中国购物应用拼多多版本中发现并概述了潜在的恶意软件,此前谷歌将其从其安卓应用商店中下架。

    在对恶意代码的首批公开报告之一中,卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用版本,华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。

    卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用,该公司表示,它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。

    这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致,尽管彭博新闻社尚未证实早期报道的真实性。

    这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。 虽然拼多多主要在中国使用,但 PDD 的另一款应用 Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。 它尚未像 ByteDance Ltd. 的 TikTok 那样成为立法者审查的焦点。

    —— 彭博社

  • 拼多多对抗恶意利用

    拼多多采取行动,中国境内社交平台和各网站关于拼多多被谷歌下架和恶意利用漏洞的消息陆续被删除。

    拼多多正在拿起“法律的武器”维护自身的权益。

  • 谷歌将拼多多APP从Play应用商店下架并标记为恶意软件

    谷歌宣布将拼多多APP从Play应用商店下架,并标记为恶意软件

    周一,谷歌宣布已将中国电子商务巨头开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

    在过去的几周里,多名中国安全研究人员指责拼多多——一家拥有近 8 亿活跃用户的新兴电子商务巨头为 Android 开发的应用程序包含旨在监控用户的恶意软件。

    谷歌发言人埃德·费尔南德斯 (Ed Fernandez) 表示,“通过 Google Play Protect 强制执行此应用程序的非 Play 版本,发现这些版本包含恶意软件”,指的是不在 Google Play 上的应用程序。

    实际上,谷歌已经设置了其 Android 安全机制 Google Play Protect,以阻止用户安装这些恶意应用程序,并警告那些已经安装了这些恶意应用程序的用户,提示他们卸载这些应用程序。

    费尔南德斯补充说,谷歌已暂停拼多多在 Play 商店的官方应用程序,“出于安全考虑,我们将继续调查。”

    一位要求匿名的安全研究人员向 TechCrunch 通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日漏洞来攻击他们的用户。

    —— TechCrunch

  • 拼多多修复漏洞问题

    有微博网友说,拼多多在被爆出APP非法利用漏洞侵犯用户隐私后已在最新的版本中去掉了非法提权有关的代码。另外有TG频道说云控部分代码被混淆处理了,未被剔除。

    代码混淆是将计算机程序的源代码转换成功能上等价,但是人工难于阅读和理解的形式的一种行为。

  • 拼多多 APP 侵犯用户隐私

    研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控

    注:据信该APP指的是“拼多多”

    微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。

    该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。

    提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)

    之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;

    进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;

    随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;

    甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

    —— 深蓝洞察

  • 拼多多短链接被第三方服务商取代

    有 V2EX 用户发现,拼多多分享的助力链接域名并不是自己所有,而是使用了相当多的第三方短链接作为自己的助力链接。这些链接会跳转到腾讯云对象存储这样的临时地址向用户显示推广结果及宣传材料。

    拼多多采用的短网址和图床庞杂,这样做可以极大地避免被微信系统屏蔽。即使被封,后果也是由这些被选用的第三方服务商承担的。拼多多是滥用三方服务的集大成者。

  • 拼多多利用第三方短链接

    拼多多利用第三方短链接

    有 V2EX 用户发现,拼多多分享的助力链接域名并不是自己所有,而是使用了相当多的第三方短链接作为自己的助力链接。这些链接会跳转到腾讯云对象存储这样的临时地址向用户显示推广结果及宣传材料。

    拼多多采用的短网址和图床庞杂,这样做可以极大地避免被微信系统屏蔽。即使被封,后果也是由这些被选用的第三方服务商承担的。拼多多是滥用三方服务的集大成者。

  • 拼多多在疫情后成为最大赢家

    拼多多在疫情肆虐下成为最大赢家

    随着中国消费者在大流行病肆虐的经济中抑制其支出,一家折扣电子商务公司正在成为股市的明显赢家。

    销售从杂货到美容产品的拼多多公司的股票在过去一个月里飙升了43%,在纳斯达克金龙中国指数中排名第一,该指数下滑了0.9%。该股目前已从3月份的低点反弹了167%,超过了包括阿里巴巴集团控股有限公司和京东公司在内的竞争对手。

    —— 彭博社

  • 淘宝、京东、拼多多用户大量泄密数据被发现

    中国电商平台大量泄密数据在TG贩售

    淘宝、京东、拼多多用户数据疑似出现泄露,淘宝泄露源疑似为21年6月的淘宝11亿爬虫数据,京东与拼多多未知。(京东与拼多多用户名使用场景少,网络上找不到测试ID)

    根据笔者测试,在网络上随机选取多个淘宝ID进行查询,均查询到了准确的个人信息,测试最早追溯可达2020,实际最新未知(估记最新到2021年6月左右)。预计数据量10亿+,查询一次价格约为29U。

    此次泄露范围极广,大多数淘宝使用者均被命中,且此查询此信息的机器人目前已在telegram中部署完成,据发文前该机器人官方频道已有1127人关注,预计将大范围在telegram中传播。

    此外机器人可以查询贴吧/QQ数据等数据,其中贴吧数据较新,与前几年高三学生跑出的贴吧数据不同,来源未知。

    其他查询数据与目前已泄露数据无异。至于学信等信息未进行验证,数据量应该不大。

    —— CN_Privacy

    (为保护隐私以及防止诈骗,评论中禁止发布任何社工库机器人信息)