V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jdandelion573
V2EX  ›  分享发现

pdd 打响国际知名度

  jdandelion573 · 2023-04-03 17:35:12 +08:00 · 19378 次点击
这是一个创建于 579 天前的主题,其中的信息可能已经有所发展或是发生改变。

CNN 发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。邀请来自多国的技术专家检验了拼多多 2 月份发布的 6.49 版本的安装包,其中 3 家机构详细检验了拼多多的代码,在调查中发现拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。

拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为 http://com.google.android 的文件夹中发现了拼多多的代码。在发现的总计约 50 个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商 OEM 系统漏洞的,包括三星、华为、小米、Oppo 等。 拼多多在 3 月 5 日发布的 6.50 版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。

采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自 2020 年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。 在 6.50 版本发布后的两天,也就是 3 月 7 日,原本专门负责针对这些漏洞进行开发的 100 人左右的团队被突然解散 。

这些产品经理和程序员发现自己无法登陆内部通讯软件 Knock ,他们访问内部数据和文件的权限也被撤销。 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu ,但是有约 20 位针对安卓漏洞的核心开发人员仍然还留在拼多多。

https://edition.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html

不愧是拼多多,能在实锤还坦然自若,还能让国内媒体全部装死。

123 条回复    2023-04-10 18:27:15 +08:00
1  2  
jdandelion573
    1
jdandelion573  
OP
   2023-04-03 17:41:51 +08:00   ❤️ 45
拼多多凭实力扭转我对它山寨便宜的印象,用深不可测的舆论管控能力,刷新我对它实力上限和道德下限的认知。
dbskcnc
    2
dbskcnc  
   2023-04-03 17:43:15 +08:00   ❤️ 10
支持深挖 Pdd,这种行为已经是大规模入侵了,只有继承了 gxx 的基因才能如此霸气。
xinh
    3
xinh  
   2023-04-03 17:45:25 +08:00 via iPhone   ❤️ 4
不知道 pdd 后面有谁的白手套?
jdandelion573
    4
jdandelion573  
OP
   2023-04-03 17:47:41 +08:00   ❤️ 15
@dbskcnc 100 多人的团队去攻击用户手机系统的漏洞,这团队规模说明这些行为是长期有计划的,全体高层都知晓的。最可怕的还是犯罪窃取几亿人信息后,被曝光后还能压住舆论,逍遥法外。这已经不是一家正常公司能做到的事了。
makelove
    5
makelove  
   2023-04-03 17:57:42 +08:00   ❤️ 1
pdd 开发这些是怎么想的,笃定暴露了也没事?结果果然没事
qsnow6
    6
qsnow6  
   2023-04-03 17:58:26 +08:00   ❤️ 23
就这帮人的操性,Tiktok 最近被架火上烤一点也不冤
delogn
    7
delogn  
   2023-04-03 18:02:13 +08:00
所以这项目是怎么立项的呢。。。而且团队这么大,保密做得这么好。。。
cvbnt
    8
cvbnt  
   2023-04-03 18:05:39 +08:00 via Android   ❤️ 1
在可预见的未来,temu 也会像 tiktok 一样的待遇
alne
    9
alne  
   2023-04-03 18:07:44 +08:00   ❤️ 5
@qsnow6 #6 典中典
jacy
    10
jacy  
   2023-04-03 18:30:59 +08:00
这种迟早会被发现,肯定提前准备了公关和应对,也印证了现在如此安静
xingL
    11
xingL  
   2023-04-03 18:40:14 +08:00   ❤️ 28
拿几亿用户的隐私和中国 App 的声誉谋取利益,败露后监管机构和媒体全部装死,真是魔幻
zqlcrow
    12
zqlcrow  
   2023-04-03 18:41:05 +08:00
我先来:等一个官方发言,不传谣不造谣。
SteinsGate
    13
SteinsGate  
   2023-04-03 18:41:08 +08:00 via Android   ❤️ 2
不懂就问,有什么办法能让 pdd 受到上面的制裁
fairless
    14
fairless  
   2023-04-03 18:45:10 +08:00   ❤️ 9
简直太可怕了,为什么整天盯着普通人断卡行动,这种大规模集团犯罪却屁事没有
fairless
    15
fairless  
   2023-04-03 18:46:12 +08:00   ❤️ 1
如果石锤,这帮人都是妥妥破坏计算机信息系统罪了
jdandelion573
    16
jdandelion573  
OP
   2023-04-03 18:46:14 +08:00 via Android   ❤️ 32
@xingL 这才是我最不能理解的事,这件事情佐证中国企业 APP 确实有盗取用户隐私的情况,哪怕出于最基本的法律程序,也会调查和罚款维护脸面。有关部门和媒体的装死相当于把中国企业的信誉一起毁掉,埋葬海外应用市场。
FozillaMox
    17
FozillaMox  
   2023-04-03 18:54:08 +08:00 via iPhone
感觉拼多多有后台。
zk8802
    18
zk8802  
   2023-04-03 18:57:23 +08:00   ❤️ 2
有一种可能:这些间谍功能是配合国安要求开发的,因此也当然会国安进行兜底。
yyf1234
    19
yyf1234  
   2023-04-03 18:57:29 +08:00 via iPhone   ❤️ 4
以前我对«你法我笑»这个词挺抵触的,经过 pdd 这次之后,😁😁😁
jdandelion573
    20
jdandelion573  
OP
   2023-04-03 19:06:12 +08:00 via Android
@FozillaMox 也是一样想法,虽然是无根据的猜想。但面对拼多多的死穴,商业竞争对手能忍着不出招,确实罕见,背后可能有普通人没法涉及的秘密,才会各方这么安静。
jdandelion573
    21
jdandelion573  
OP
   2023-04-03 19:07:05 +08:00 via Android   ❤️ 2
@jdandelion573 或者说大家手上都不干净才会这么安静:)
Reid
    22
Reid  
   2023-04-03 19:51:31 +08:00
一直好奇为啥这里没有人讨论前段时间 Tiktok 的公开辨证会
Weedy152
    23
Weedy152  
   2023-04-03 20:13:28 +08:00
@dbskcnc gxx 是?
zzhzero
    24
zzhzero  
   2023-04-03 21:24:02 +08:00
https://github.com/davinci1010/pinduoduo_backdoor
这个项目的第一次提交时间就是 3.7 懂了吗
icoming
    25
icoming  
   2023-04-03 21:36:50 +08:00
@Reid Tiktok 在国内没业务。本身网友喜欢讨论会用到、见到的东西。
Dogtler
    26
Dogtler  
   2023-04-03 22:40:17 +08:00 via iPhone
pdd 只适合买菜和吃的,其它就算了吧。挂羊头卖狗肉比比皆是,没有任何质量保证
tkbo
    27
tkbo  
   2023-04-03 22:59:38 +08:00
国内怎么没媒体报道
expkzb
    28
expkzb  
   2023-04-03 23:03:19 +08:00   ❤️ 1
@tkbo 不能说民营企业家的坏话不是,热乎的决议
est
    29
est  
   2023-04-03 23:04:08 +08:00   ❤️ 1
> 一开始只针对小城市和农村地区的用户启用了这些攻击

其实这句话也可以理解为:很多农村手机里的 app 都有类似灰产后门。这是一个行业惯例。。。
yhtbiy
    30
yhtbiy  
   2023-04-03 23:04:44 +08:00
是不是又说明了 iPhone 手机比安卓手机安全
Cu635
    31
Cu635  
   2023-04-03 23:10:25 +08:00   ❤️ 5
这就是真正的黑社会。
“中国没有黑社会,只有黑恶势力和黑社会性质的组织”这句话已经不再适用了。
pista
    32
pista  
   2023-04-03 23:41:24 +08:00 via Android   ❤️ 4
拼多多是一家在美国上市的公司,因此,它需要遵守美国证券交易委员会( SEC )的监管规定,包括披露与其业务相关的信息,包括数据隐私和安全问题。如果拼多多利用漏洞侵犯用户隐私,未能披露此类风险,SEC 可以对其进行调查并采取法律行动,以保护投资者和公众利益。
bclerdx
    33
bclerdx  
   2023-04-03 23:56:14 +08:00
@pista 本该如此!
bclerdx
    34
bclerdx  
   2023-04-04 00:02:39 +08:00
kingfalse
    35
kingfalse  
   2023-04-04 00:08:16 +08:00 via Android
他们总说我们自己人不支持国产,却永远不看看他们自己做了多少中国人骗中国人的事情
decade1024
    36
decade1024  
   2023-04-04 00:15:12 +08:00 via Android   ❤️ 8
@kingfalse 中国留学生在泰国被杀,凶手就是三个中国人,害中国人的 99%都是中国人,但是中国人大多数却对素未蒙面的外国人充满仇恨,认为全世界都在还害它。
wganbleuthall
    37
wganbleuthall  
   2023-04-04 00:20:46 +08:00
@yhtbiy #30 我第一个想法也是这个 我用 ios 是不是就逃过了
agagega
    38
agagega  
   2023-04-04 00:40:47 +08:00
B 站那些恰拼多多饭的 up 主有一个敢出来说的吗😁
PVXLL
    39
PVXLL  
   2023-04-04 00:43:01 +08:00 via iPhone   ❤️ 1
对于企业家犯罪,我们要做到能不捕尽量不捕。
shwnpol
    40
shwnpol  
   2023-04-04 00:53:00 +08:00
@bclerdx 早该如此
hlwjia
    41
hlwjia  
   2023-04-04 00:53:42 +08:00
还以为股票能大跌,抄点底,没想到没跌多少就开始反弹。

生气!
az467
    42
az467  
   2023-04-04 00:54:06 +08:00
Temu 被干死前看都不看
Andreas8
    43
Andreas8  
   2023-04-04 00:57:00 +08:00 via iPhone
对外唯唯诺诺,对内重拳出击👊😅
cwcc
    44
cwcc  
   2023-04-04 01:04:54 +08:00
pdd 大概率是通了天的,看以往有关寻梦公司的新闻就能感觉出来。
wwbfred
    45
wwbfred  
   2023-04-04 07:27:28 +08:00
什么,逆向拼多多?妥妥的非法侵入计算机信息系统罪😅
freeair
    46
freeair  
   2023-04-04 07:44:34 +08:00 via iPhone
技术上不评论,自己原本日常是不用这 app 的,倒是有次实在没办法因为帮人“砍一刀”装了 app ,就放手机休眠了,但就觉得这东西看着怎么像传销似的,不靠谱。这次看到新闻,才想起手机里有这个 app ,赶紧注销账户后卸载了。
xianlu
    47
xianlu  
   2023-04-04 08:31:15 +08:00
永远支持拼多多,我说京东淘宝要挑战拼多多怎么尽是偏门,不愿真心付出的任何事物是得不到认可的,拼多多退货都是顺风上门的,隐私这东西在这个国家就像如来,见不到的,有什么要分析的。
abbenyyy
    48
abbenyyy  
   2023-04-04 08:35:33 +08:00
@wganbleuthall iOS 不升级系统,同样也有 oday 漏洞,理论上同样可以被利用,但是苹果会强制你升级系统,哈哈。
dddddd
    49
dddddd  
   2023-04-04 09:25:16 +08:00
这种行为在中国是牢底坐穿的犯罪
zhandouji2023
    50
zhandouji2023  
   2023-04-04 09:43:39 +08:00 via iPhone
中国出海的公司都面临着“党大还是法大”这个问题
akring
    51
akring  
   2023-04-04 09:45:48 +08:00
将来 iOS 侧载一开肯定也是群魔乱舞
sky857412
    52
sky857412  
   2023-04-04 09:46:11 +08:00
在国外能罚到破产
qq565425677
    53
qq565425677  
   2023-04-04 09:49:53 +08:00
说是这么说,问了一圈同学,多数人觉得自己手-机上的东西没什么见.不.得.人.的,而 p.d.d 的优..惠是实打实的
Greenm
    54
Greenm  
   2023-04-04 09:50:55 +08:00   ❤️ 10
我不恨拼多多,我只恨在证据确凿、有法可依的情况下仍然装死不声不响的当局。

有拼多多珠玉在前,南山必胜客,360 等大公司你猜他们会不会做类似的事呢,反正“我上头有人”。

为国内用户,特别是安卓用户感到悲哀。
mosfet
    55
mosfet  
   2023-04-04 10:05:07 +08:00
背后是李 X 啊,七武海
shuson
    56
shuson  
   2023-04-04 10:05:30 +08:00
cnn 这些假洋鬼子记者 捕风捉影的能力真是不知廉耻
easymbol
    57
easymbol  
   2023-04-04 10:06:11 +08:00
破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统的正常运行,后果严重的行为。
有一个疑惑手机算不算在内?
niolas
    58
niolas  
   2023-04-04 10:09:16 +08:00
滴滴死的好冤枉
wuweijia
    59
wuweijia  
   2023-04-04 10:10:41 +08:00
我看股票稳定甚至在持续上涨啊
ZeroDu
    60
ZeroDu  
   2023-04-04 10:15:50 +08:00
“开始只针对小城市和农村地区的用户启用了这些攻击” 绝了。这是目标用户并且被发现的概率低
mxT52CRuqR6o5
    61
mxT52CRuqR6o5  
   2023-04-04 10:18:47 +08:00 via Android
说明中国有很好的营商环境,股票上涨很正常
codespots
    62
codespots  
   2023-04-04 10:18:56 +08:00
@xianlu 为了便宜仨瓜俩枣,卖节操卖给魔鬼,这是什么狗币三观?
HariopaNic
    63
HariopaNic  
   2023-04-04 10:22:01 +08:00
sh 好不容易有一个大的互联网厂子,可不得睁一只眼闭一只眼
fournoas
    64
fournoas  
   2023-04-04 10:24:53 +08:00
> 为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击

真恶心
liuhaibin
    65
liuhaibin  
   2023-04-04 10:30:02 +08:00
拼夕夕 5 年前被骗过一次,从来没有装过了。有多远滚多远。
googleaccount
    66
googleaccount  
   2023-04-04 10:30:06 +08:00
这个事情安全圈内应该早知道了,前几年知名大黑客 Flanker 因为不想干这事 被 PDD 恶心辞退, 大佬和 PDD 直接开撕。
justfun
    67
justfun  
   2023-04-04 10:31:36 +08:00
海南省 gov 办公厅印发了《关于支持民营经济发展的若干措施》。其中提到,要营造公平公正法治环境。“贯彻落实少捕慎诉慎押刑事司法政策,对民营企业家涉案人员能不捕的不捕、能不诉的不诉、能不判实刑的不判实刑,能不继续羁押的及时予以释放或变更强制措施。”
googleaccount
    68
googleaccount  
   2023-04-04 10:33:07 +08:00   ❤️ 1
给不了解的人看下当时的瓜 https://zhuanlan.zhihu.com/p/366414785
@googleaccount
723X
    69
723X  
   2023-04-04 10:44:30 +08:00 via Android
只能说什么样的土壤结出什么样的果实
zhaol
    70
zhaol  
   2023-04-04 10:49:18 +08:00
这件事一点水花都没有,要说 pdd 后面没人我是不信的。
ccYUI
    71
ccYUI  
   2023-04-04 10:55:43 +08:00
@SteinsGate 中国软件应该收到保护,符合国家法规要求!!
georgezhang
    72
georgezhang  
   2023-04-04 10:57:22 +08:00
反手立马注销账号
fengjianxinghun
    73
fengjianxinghun  
   2023-04-04 10:58:21 +08:00
@Greenm 可能已经做了很久了。
xmh51
    74
xmh51  
   2023-04-04 11:03:51 +08:00
干死 pdd 相关人员和主导者。全抓去坐牢去。
另外莫上纲上线。
Oilybear
    75
Oilybear  
   2023-04-04 11:06:21 +08:00
@zzhzero gxv 还不懂吗
xmh51
    76
xmh51  
   2023-04-04 11:07:48 +08:00   ❤️ 1
外媒报道挺好的,有的地方保护者无法无天了,pdd 在上海就是皇帝。
xmh51
    77
xmh51  
   2023-04-04 11:08:49 +08:00
@ccYUI 不符合的,违法法律了,按照爬虫入刑的标准,pdd 的应该有人要坐牢
jdandelion573
    78
jdandelion573  
OP
   2023-04-04 11:11:04 +08:00
@googleaccount 感谢这些有良知的人,唾弃那些作恶者和无所作为的监管,两者狼狈为奸。作恶可以毫无后果,被发现后装作什么事都没发生过,坚守道德底线遵纪守法却要丢工作,魔幻且讽刺。
aLazarus
    79
aLazarus  
   2023-04-04 11:16:09 +08:00
换一种思路,这些境外媒体集体攻击国内的互联网厂商,企图打压国内的互联网发展,从而压制中国的经济发展。
国内已经明确了对民营企业家涉案人员能不捕的不捕、能不诉的不诉,但境外组织依然不依不饶,这不就是打了阿中哥哥的脸?
xmh51
    80
xmh51  
   2023-04-04 11:28:58 +08:00
@aLazarus 这不公平,这么大范围的黑客行径,性质恶劣,这个脸打的好。
jdandelion573
    81
jdandelion573  
OP
   2023-04-04 11:29:20 +08:00 via Android   ❤️ 2
@aLazarus 现在中国人的隐私都需要外国 meiti 来维护,讽刺而又现实。从 sanlu 奶粉食品安全到 9 96 劳动 quanyi ,从 yq fengkong 人身财产安全再到现在的网络隐私安全,维护普通人 quanyi 这场辩论中,中国的专业 jizhe 显然已经退场,只剩下我们这些普通人在自呼自救。
jdandelion573
    82
jdandelion573  
OP
   2023-04-04 11:30:25 +08:00 via Android
@jdandelion573 笑死,原来是 quanyi 两个字打不出来,这情况很符合我上面说的话。
mscsky
    83
mscsky  
   2023-04-04 11:32:39 +08:00
拼多多各种短视频之流确实农村用户比城市用户体验更差
dudubaba
    84
dudubaba  
   2023-04-04 11:39:10 +08:00
工信部:你说什么?我看不见啊
SomeBodsy
    85
SomeBodsy  
   2023-04-04 11:49:07 +08:00
李强牛逼
glfpes
    86
glfpes  
   2023-04-04 11:55:20 +08:00
即使这个信息被广而告之,国内人士仍然会继续使用 PDD ,因为它便宜,服务(退换货)做的合格。
我为什么敢这么说?因为我们团队的几个人首先是肯定知道这个事件的,然后他们还在使用 PDD 。
这可能是这是因为他们同时知道,自己的信息早就泄露了,虱子多了不咬人。
李彦宏那句中国人不需要隐私,是至理名言,感谢耿直的 robin 说了出来。
glfpes
    87
glfpes  
   2023-04-04 11:56:25 +08:00
我提到的这群人至少年薪 50W ,其中有俩带佬应该是年薪百万。
但在上海的房价面前,一样需要用 PDD 。
fairless
    88
fairless  
   2023-04-04 11:58:34 +08:00
@easymbol 肯定算啊,那么多搞手机群控的,游戏外挂的,不都是这个罪吗。PDD 攻击系统漏洞提权,这跟病毒有啥区别
royzxq
    89
royzxq  
   2023-04-04 12:04:42 +08:00
反正 sh 会保,只能说并夕夕有恃无恐
K2
    90
K2  
   2023-04-04 12:08:11 +08:00
“ 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu” hhh

我用过 Temu 没用过 pdd 。。还好是 iOS
uni
    91
uni  
   2023-04-04 12:23:03 +08:00
我手机里的谷歌框架这几天一直在让我卸载 pdd 。。。
Huelse
    92
Huelse  
   2023-04-04 12:43:22 +08:00
有上海在撑腰怕啥,就像华尔街卖债券卖出花来也有美联储兜底。
Leonard
    93
Leonard  
   2023-04-04 12:52:00 +08:00 via iPhone
爆出来有什么用,pdd 黑料还少了吗?违法犯罪不处罚,舆论影响都做不到( pdd 有钱,热搜压得太快),知道消息的人多半也不在乎(就算 v 站,过个几天一样到处讨论百亿补贴)
zhangsimon
    94
zhangsimon  
   2023-04-04 12:59:33 +08:00
上海老年得子…
Lirika
    95
Lirika  
   2023-04-04 13:25:07 +08:00
@SomeBodsy #85 跟他有啥关系?
sunamask
    96
sunamask  
   2023-04-04 13:26:06 +08:00
用微信 /支付宝的小程序不行吗?我不懂这行,不知道这么做对不对啊,但是我都是用绿蓝两个超一线 app ,开美团 /点评之类一线 app 的小程序的。

你可以不信安卓系统,但你一定可以相信国内这些大厂的蛊王。
hotdogwc
    97
hotdogwc  
   2023-04-04 13:31:22 +08:00
@Greenm 热搜忙着锤张继科呢,勿扰,这就是拆 那,我觉得这是一种自信
hotdogwc
    98
hotdogwc  
   2023-04-04 13:35:35 +08:00
@easymbol 前提是“违反国家规定”啊,官方会一直装死到话题被成功转移,就没人提了
Zero00favor
    99
Zero00favor  
   2023-04-04 13:54:12 +08:00
@easymbol 算得咯,前有用模拟定位钉钉打卡工具已经在踩缝纫机了。
bclerdx
    100
bclerdx  
   2023-04-04 13:55:15 +08:00
@decade1024 没办法,毕竟年事已高了,思想与体力大不如年轻的时候了,有被迫害妄想症!
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1103 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 19:32 · PVG 03:32 · LAX 12:32 · JFK 15:32
Developed with CodeLauncher
♥ Do have faith in what you're doing.