标签： APP

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控

注：据信该APP指的是“拼多多”

微信公众号「DarkNavy」发文，称某互联网厂商 App 利用 Android 系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。

该互联网厂商在自家看似无害的 App 里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。

提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）

之后，该 App 进一步使用的另一个黑客技术手段，是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；

进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；

随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；

甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

—— 深蓝洞察

出于安全的考虑，安卓14将完全禁止安装过时的APP

多年来，谷歌应用商店的指导方针一直确保安卓开发者保持其应用程序的更新，以使用安卓平台的最新功能和安全措施。就在本月，该指南被更新，要求新上市的Play Store应用程序至少要针对安卓12系统。

根据新发布的“代码变更”，安卓14将使API要求更加严格，完全阻止安装过时的应用程序。这一变化将阻止用户侧载特定的APK文件，也会阻止应用商店安装这些相同的应用程序。

最初，安卓14设备只阻止针对特别旧的安卓版本的应用程序。不过随着时间的推移，计划将门槛提高到安卓6.0（Marshmallow），谷歌有一个机制来“逐步提高它”。也就是说，可能仍将由每个设备制造商来决定过时应用程序的门槛，或是否启用它。

谷歌计划通过阻止这些过时的应用程序遏制恶意软件在 Android 上的传播。负责更改的开发人员指出，一些恶意APP有意针对旧版本的 Android，以绕过某些仅对新应用程序实施的保护措施。

—— 9to5google

研究表明移动用户每天在APP上花费 4-5 小时

Data.ai（之前的App Annie）本周的一份新报告发现，全球十几个市场的消费者现在每天花四到五个小时在应用程序上。虽然每天花在应用程序上的时间因国家而异，但现在有13个市场的用户每天使用应用程序的时间超过了4小时。这包括印度尼西亚、新加坡、巴西、墨西哥、澳大利亚、印度、日本、韩国、加拿大、俄罗斯、土耳其、美国和英国。

而且，在其中三个市场–印度尼西亚、新加坡和巴西–移动用户每天在应用程序中花费的时间超过5小时。

—— techcrunch

B站up主逆向工程微信安装包后认为微信中真正实现聊天的代码可能只占0.1%，大部分代码用来运行小程序、视频号等功能，“微信占用的99.9%空间都是存放的垃圾功能和资源。”

在2011年1月发布的微信1.0版本，安卓APK安装包的体积仅457KB，而2022年6月发布的微信8.0.24版本，安卓APK安装包的体积已经膨胀到了257MB，比很多PC软件的体积还要大，11年来膨胀了575倍。

618的消费券

京东APP输入以下关键词，可领取对应地区政府发放的消费券：
“沈阳特产消费券”
“深圳消费券”
“北京消费券”
“成都消费券”
“太原消费券”
“郑州消费券”
……

>需要注意以下几点：
– 京东APP定位在对应地区才能领取
– 使用消费券结算订单收件地址需要在对应地区(待确认)
– 此次消费券大多以有门槛满减形式抵扣

>如何获取？
A. 京东APP-输入消费券关键词-底部会出现地名-重新整理关键词-“地名+消费券”
B. 搜索引擎-数字人民币+本地+消费券（有的地区叫优惠券/百乐购/折扣券……）
C. 云闪付APP-首页-政府消费券-进入对应地级市-按规则领取相关券

—— @wearemjj

苹果App Store将下架长期不更新的应用程序

据报道，苹果似乎将要开始逐渐下架长期不更新的App。在发送给受影响开发者的电子邮件中，苹果警告称，它将从应用程序商店中删除“长时间内没有更新的应用程序”，并给开发者30天的时间进行更新。许多应用程序开发商都表达了对这一变化的担忧。

对苹果该政策持批评态度的人士认为，移动应用程序无论多老都应该继续保持它们的可用性，也有人认为这项政策对开发者过于苛刻，并称苹果公司没有完全尊重独立游戏的开发工作。

—— TechWeb

工信部通报14款App 360手机卫士、安兔兔、百合婚恋榜上有名

3月14日，据工信微报消息，工业和信息化部高度重视用户权益保护工作，持续开展APP侵害用户权益专项整治行动。

工信部开展APP侵害用户权益整治“回头看”，组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测，并对去年发现问题的APP进行抽测，共发现14款APP仍然存在问题。

工信部表示，上述APP应在3月21日前完成整改，逾期不整改或整改不到位的，工信部部将依法依规严厉处置。

—— cnBeta

工信部信息通信管理局召开行政指导会，规范APP推荐下载行为，改善网页浏览服务体验。

“无合理正当理由，不得要求用户不下载APP就不给看，或者不让看全文。不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP，或跳转至应用商店，影响用户正常浏览信息。”

扩展：网友称，百度，新浪，网易，知乎，太多太多了，这些坏人。

某些网站强制要求下载app

2月11日，有网友在人民网“领导留言板”以“建议对部分网站强制要求下载App的行为进行整治”为题向工业和信息化部部长、党组书记肖亚庆留言称，“现在用手机浏览器浏览内容时，一些应用常常会弹出来推荐App的窗口，比如用苹果手机Safari浏览器时，百度就会推荐你下载App浏览，还有贴吧也是，必须下载App才能浏览全部评论，希望政府能够对这种行为进行整治。”
对此，工信部2月21日回复称，“关于您提出的相关问题，我部将深入研究，根据下一步工作安排予以关注，维护用户合法权益。”

扩展：有网友称，不止贴吧吧。新浪，网易，太多了。也有网友称，这个能治理了，他就直播吃键盘。