深蓝洞察22年度最“不可赦”漏洞pdd反序列化违规提权，违...

楼主的马甲

https://www.163.com/dy/article/HVGGIO4G0553VCCF.html
近日，据南方日报报道，国内知名独立数据安全研究服务机构深蓝DarkNavy日前发布一则报告称，有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。

一石激起千层浪，消息随后被各路大牛和广大网友热议。通过仔细对比和验证，网友发现该软件竟然是拼多多。而其利用的则是Android系统的漏洞。



此前，拼多多还专门设置了资深Android系统开发专家的岗位，知乎专业认证用户Gracker对他们的这种深入研究的精神进行了夸赞，而现在他打趣的说到：“还是自己太年轻了。”



01

极致的技术，却用在“深挖”用户

DarkNavy将这个漏洞称为「2022年度最“不可赦”漏洞」，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。

说实话要找到完整的漏洞提权方法并实现，不是一件容易的事，但拼多多做到了。

为此，DarkNavy报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商OEM代码中的反序列化漏洞提权，提权控制手机系统之后，拼多多即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息，包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等。





之后，拼多多利用手机厂商OEM代码中导出的root-path FileContentProvider，进行System App和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；

随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；

甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。


图片来源：DarkNavy

更可怕的是，拼多多竟然还在持续挖掘新的安卓OEM相关漏洞，颇有一种“流氓不可怕，就怕流氓有文化”的感慨。

最终，拼多多通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：

隐蔽安装，提升装机量

伪造提升DAU/MAU

用户无法卸载

攻击竞争对手App

窃取用户隐私数据

逃避隐私合规监管

等各种涉嫌违规违法目的。

虽然此次事件刚刚曝光不久，但拼多多将各种违规操作掩藏在看似“人畜无害”的APP下作恶的行为，其实早就有迹可循。



02

远程删图、越权收信息、强制无法卸载

拼多多有些罄竹难书

古代形容人罪行很多，常常将之喻为用尽山上的竹子做竹简，都写不完他的罪行。而到了现代，互联网却可以承载。

互联网是有记忆的，随便在网上搜索就能发现拼多多过去的劣迹。早在2018年11月，中消协就曾点名拼多多。

当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。

中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。



也就是说，拼多多在用户毫不知情的情况下，就强迫用户与拼多多签署了一份协议，这份协议授权拼多多随意收集用户隐私信息。只要你用了拼多多就代表同意，不签协议也算同意，妥妥的霸王条款。

而影响更大的则是拼多多的“远程删除图片事件”。2021年1月，有网友爆料其在参加拼多多裂变活动时，邀请新用户返现一百元，结果钱没拿到，证据截屏还被App远程删除。

手机相册涉及用户的众多隐私，如果能被随意调取，想想就很可怕。拼多多官方客服当时的回应称是网友清除缓存造成的，这显然站不住脚。

最有意思的是，拼多多最终给该网友的赔偿仅为30元代金券，且为6张5元券，需要邀请好友才能使用。

在拼多多的眼里，你的隐私可能只值一点代金券，还需要拉上你的亲朋好友一起被割，才肯施舍，将用户的每一滴剩余价值运用到极致。

翻看黑猫投诉平台，也能找到拼多多利用漏洞的大量实例，众多用户反馈无法删除拼多多APP。

2022年5月，有用户反映其发现小米程序无法卸载拼多多，“我选择长按应用图标点击旁边的卸载功能，里面确弹出了类似电脑应用卸载页面，企图给你挖坑让你无法卸载拼多多，且试图挽回些什么。我选择了继续卸载。直到今天早上我才发现，拼多多完成了自动升级。但是我手机里根本就没有拼多多，哪里都看不到。后来我在小米应用商店里发现，拼多多一直都在，根本就没有卸载过。”

对此情况有技术人员表示，拼多多典型的特性就是安装后在桌面上创建快捷方式，用户实际上卸载或删除的只是快捷方式，并非其本体。其本体可以继续在后台违法获取隐私信息，有些电脑上“流氓软件”全家桶的感觉。

在无法卸载的同时，拼多多利用技术手段伪造提升DAU/MAU，攻击竞争对手的APP，也被不少网友曝出。微博和小红书上有大量网友表示，其在阿里系购买物品的物流信息却在拼多多里有显示。





这不禁让人想到，此前拼多多曾在致股东信中提到，电子商务是试图理解每次点击背后的人性化，它试图通过分析人与人之间的联系和信任来聚合相似的需求。

现在看来，拼多多的“理解”和“分析”都有点太深了。

犹记2018年，百度李彦宏在2018中国发展高层论坛上说：“中国人愿意用隐私换取便利”，遭致大量网友口诛笔伐。

其实他后面还说了一些话，“衡量是否使用用户数据的标准，是在用户同意后，用隐私让用户受益，那就会用。”

根据用户同意，用户受益的两个原则，拼多多背后获取隐私并损害用户体验的做法无疑是背道而驰的。



03

技术没有对错，但科技应该向善

如今在世界范围内，保护隐私都是各项议题的重中之重，但却屡禁不止。其实这是一个很朴素的逻辑，对盗用、滥用乃至交易用户隐私、数据等权益所获取的利益与所带来的法律后果进行对比，一旦发现违法成本过低，就会将侵犯用户隐私权益异化为本小利大的稳赚生意，从而难以禁绝。

为此，不少业内人士建议防范隐私问题需要政府与社会的政策严控。美国Meta就是个很好的例子。

在Meta还叫Facebook的时候，曾为了隐私诉讼付出了42亿元的代价。

由于Facebook在其照片标记功能中使用了面部识别技术，这项功能允许用户在他们在上传到Facebook的照片中标记好友，创建指向好友个人资料的链接，而平台却未经同意扫描用户上传的面部图像，此举违反了伊利诺伊州的《生物识别信息隐私法》。由此，160万名受影响用户的代表向法院提起了集体诉讼。

根据美国当地法院的和解判决，法院同意Facebook向约160万名用户支付共6.5亿美元，约合人民币42亿元的赔偿费用。

无论以何种标准衡量，这项6.5亿美元的和解是一个里程碑式的结果，是针对隐私侵犯诉讼有史以来规模最大的和解之一，足见提高隐私侵犯违法成本是有成效的。



作为用户，可以从自身角度提高安全意识和隐私保护理念。比如在安装APP时，应仔细阅读其数据收集请求，根据个人情况来选择是否提供。而且在提供信息的时候，要遵循“供所必需”的原则，不提供超出业务需求之外的信息。

但值得注意的是，提高自身防范意识绝不是对企业可以“作恶”的纵容。企业向善是种选择，也是一种必要的责任。

尤其是大企业，能收集数据找到漏洞，是技术上的能力，但要不要利用数据和漏洞，则是企业的自我修养。


https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

fxdgt

我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页推送~

子疯

fxdgt 发表于 2023-3-14 21:54
我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页 ...

大数据把你拿捏的死死的。

zhangfeideya

fxdgt 发表于 2023-3-14 21:54
我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页 ...

没准手机录音都已经被攻破了，你的手机“监听”你日常聊天内容。

邪恶的光B

妈的，赶紧卸载这些购物app了，要买就回来上网页版

63047838

安卓手机早就没隐私了，有次用WIFI从电脑往手机上传图片，它TM竟然提示我文件违规

uuyyhhjj

63047838 发表于 2023-3-14 22:24
安卓手机早就没隐私了，有次用WIFI从电脑往手机上传图片，它TM竟然提示我文件违规 ...

你用原生android就不受影响，这个漏洞只针对还没升级到13的国产oem手机，据说包括鸿蒙，其实V站之前提过这个漏洞，但没具体说是谁家的，也不是所有商店的下的pdd都有这个东西

jzet

安卓的隐私确实不容乐观，这些流氓软件太流氓。

中发白

fxdgt 发表于 2023-3-14 21:54
我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页 ...

日常操作了。
举例：你前天晚上和朋友一起聊某一话题，半夜或者第二天早上手机就会给你推送这方面的消息或软件。

iscity

苹果手机也一样，聊完天购物APP就给你推送聊天中相关的物品

lxg503

邪恶的光B 发表于 2023-3-14 22:15
妈的，赶紧卸载这些购物app了，要买就回来上网页版

我一直是在小程序用这逼,确实比JD便宜

J神

iscity 发表于 2023-3-15 00:58
苹果手机也一样，聊完天购物APP就给你推送聊天中相关的物品

把各个程序里面>我的》隐私》个性广告之类全部关闭了，实测有效。

海底火山

众所周知，安卓手机没有隐私

败家孩子

这是今年315的瓜么

Sage_Chen

fxdgt 发表于 2023-3-14 21:54
我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页 ...

确实，经历过同样的事情

kirisame

不能卸载是什么现象？MIUI安装后可以随便卸载是不是就没受这个影响？我手机里PDD从前年开始就是用的时候安装，用完就卸载……因为当时也是坛子里有人说这玩意儿不是什么好东西

highchh

安卓机安装了谷歌的商店版，这个应该没问题吧。

panzerlied

原生13就有那个全局摄像头和mic权限开关

momo77989724

中消协对PDD没卵用。。。除了喊两句
消协最大得作用 是曝光  败坏下名声  这是有同行竞争得情况下 大厂最怕得    但PDD是以低价来揽客  大部分来的人就是冲着价格得  名声？？？又不能当抵用卷。

除非政府有人下令 不然过2天这个新闻就被压了。。。和前面多次事情一样 消失得飞快

momo77989724

63047838 发表于 2023-3-14 22:24
安卓手机早就没隐私了，有次用WIFI从电脑往手机上传图片，它TM竟然提示我文件违规 ...

本身国内得都是魔改系统  谁知道他们魔改得时候有没有为了方便 权限上就开点啥      加上流氓软件 不是人  没底线得瞎来   上面也只要经济 其他放任得     全把消费者当傻子了。
某些软件出海  页面就很干净   

你没条条框框给他限制  或者说有法不依 选择性执法  那做事的是要怎么对自己有利怎么来  人都是贪婪的 你没有给他束缚 是要变成魔

小米不还搞过个 空白得什么  就是防流氓软件窃取信息  然后就被集体围攻了。

jingmuzhe

你以为PDD只是想帮你省钱购物，实际上他却要抄你全家……

fmk989

并夕夕从一开始就走的是歪门邪道，为什么那么多人喜欢用这种东西

oppoig

今晚主角是pdd？不过貌似pdd的老大也换人了。

九月麦田

fmk989 发表于 2023-3-15 14:34
并夕夕从一开始就走的是歪门邪道，为什么那么多人喜欢用这种东西

穷
紫薯布丁……                 

momo77989724

fmk989 发表于 2023-3-15 14:34
并夕夕从一开始就走的是歪门邪道，为什么那么多人喜欢用这种东西

穷。。。他就是真便宜  一堆小玩意 上面就是比快递费便宜 还包邮

很多东西你有时候需要用一下 又不需要特别好得长期用。。。他就很合适  

duke2015

我在淘宝浏览的商品后，在网易新闻马上就给你推送广告了，NB啊~

国内互联网厂商早晚自己作死自己~

不好好提升用户体验，反而为了赚钱，无所不用其极，毫无底线~

PDD我是从来没用过，其他厂商也好不到哪去，50步笑100步~

楼主的马甲

fmk989 发表于 2023-3-15 14:34
并夕夕从一开始就走的是歪门邪道，为什么那么多人喜欢用这种东西

哎，老百姓不买便宜货，啥都挑挑拣拣的咋可能……

summerq

为什么你们都用pdd而不敢直接说拼多多？

958813826

fxdgt 发表于 2023-3-14 21:54
我只想知道为啥我和同事扯淡谈起某样东西得时候、或者不经意得瞄了一眼某东西后
打开购物软件，就会在首页 ...

一样 我在电脑上搜索过 手机上马上 淘宝 京东 PDD 都能看到我搜索过的东西仿品的推荐