研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控微信公众号「DarkNavy」发文，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw投稿：@ZaiHuabot频道：@TestFlightCN

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控注

研究机构发文披露某国产APP恶意利用漏洞，非法提权获取用户隐私及远程遥控注：据信该APP指的是“拼多多”微信公众号「DarkNavy」发文，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。——

中国三大电商巨头之一的拼多多app被爆出间谍木马化

中国三大电商巨头之一的拼多多app被爆出间谍木马化微信公众号「DarkNavy」[发文](https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw)，称某互联网厂商App利用Android系统漏洞提升权限，进而获取用户隐私及阻止自身被卸载。据信该APP指的是中国三大电商巨头之一“拼多多”。该互联网厂商在自家看似无害的App里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的Bundle风水-AndroidParcel序列化与反序列化不匹配系列漏洞，实现0day/Nday攻击，从而绕过系统校验，获取系统级StartAnyWhere能力。提权控制手机系统之后，该App即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等）之后，该App进一步使用的另一个黑客技术手段，是利用手机厂商OEM代码中导出的root-pathFileContentProvider，进行SystemApp和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

Google Play以拼多多存在恶意软件问题下架该应用

GooglePlay以拼多多存在恶意软件问题下架该应用市场担忧的风险或许是，拼多多货币化率的提升已经趋近天花板，中国电商的大环境之下，拼多多大概率要“告别”高速增长期。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。突然下架3月21日，环球时报援引彭博社报道，Google公司称，由于发现拼多多的多个版本中存在恶意软件问题，已经将这款APP从Google商店下架。Google公司发言人埃德·费尔南德斯在一份声明中表示，已经通过GooglePlayProtect对在GooglePlay商店之外发现的含有恶意软件的拼多多应用进行了处理，出于安全考虑，该应用的Play版本也已经被暂时下架。埃德·费尔南德斯进一步表示，Google公司将正在进一步调查此事，将拼多多APP下架是一种安全预防措施。需要介绍的是，GooglePlayProtect是Google为Android手机提供的恶意软件防护服务，以阻止用户安装这些恶意应用程序，并警告已安装这些恶意应用程序的用户，提示他们尽快卸载这些应用程序。彭博社报道称，Google公司并没有提到海外版拼多多“Temu”，目前这款APP仍可以正常下载。对此，拼多多在电邮声明中表示，Google的声明不具有决定性，并称Google同时暂停了几款应用程序。但拼多多并未对此作出更详细的说明。近日，国内知名独立数据安全研究服务机构深蓝DarkNavy发布一则报告称，有知名互联网厂商通过持续挖掘Android厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。报告指出，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：隐蔽安装，提升装机量；伪造提升DAU/MAU；用户无法卸载；攻击竞争对手App；窃取用户隐私数据；逃避隐私合规监管等各种涉嫌违规违法目的。DarkNavy甚至将这一漏洞称为“2022年度最“不可赦”漏洞”，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。这份报告发布后，一度在科技圈引发热议，这也引发了国内市场对手机APP安全问题的担忧。其实，早在2018年11月，中消协就曾点名拼多多。当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。一夜蒸发1100亿而在被Google下架前夕，拼多多发布的最新财报，也令市场失望。北京时间3月20日，拼多多发布2022年第四季度及全年财报，财报显示，四季度营收为398亿元，同比增长46%，全年营收1306亿元，同比增长39%；四季度净利润为95亿元2022年归属于普通股东的净利润315亿元，同比增长306％。但市场预期，拼多多四季度营收410.08亿元；净利润97.5亿元，相比之下，拼多多的成绩单大幅不及市场预期，这也令市场大失所望。当日晚间，美股开盘后，拼多多股价持续大跌，截止当日收盘，跌幅超14%，总市值缩水至997.7亿美元（约合人民币6856亿元），单日蒸发市值达165亿美元（约合人民币1134亿元）。据财报显示，2022年第四季度，拼多多的Non-GAAP盈利为121.06亿元，如果扣除股份激励的24.86亿元，实际盈利只有96亿左右。而在2022年第三季度，拼多多的Non-GAAP盈利为124.47亿元，如果扣除掉股权激励的18.65亿元，实际盈利为106亿左右。如果继续追溯前2个季度，扣除股权激励后，拼多多的实际盈利分别为89亿元、27亿元。这表明，拼多多货币化率的提升已经趋近天花板，这或许才是市场担忧的风险，拼多多股价大跌的原因。在投资者看来，近几个季度以来，拼多多的高增长并非源于GMV的良性增长，而是因为平台加大了从商家侧的抽成力度。更现实的问题是，中国电商的大环境之下，拼多多大概率要“告别”高速增长期，将与国内其他电商平台进入平稳增长。同时，拼多多还将面临抖音、快手等新电商平台的竞争压力，以及京东刚刚推出的百亿补贴，电商行业的存量竞争已然刺刀见红。不过幸运的是，拼多多海外版“Temu”在国外市场的前期探索还比较顺利，这有机会给拼多多建立“第二曲线”。但Google公司的突然下架，也给拼多多海外业务蒙上了一层不确定的“阴影”。...PC版：https://www.cnbeta.com.tw/articles/soft/1351485.htm手机版：https://m.cnbeta.com.tw/view/1351485.htm