CNN 发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。邀请来自多国的技术专家检验了拼多多 2 月份发布的 6.49 版本的安装包,其中 3 家机构详细检验了拼多多的代码,在调查中发现拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。
拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为 http://com.google.android 的文件夹中发现了拼多多的代码。在发现的总计约 50 个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商 OEM 系统漏洞的,包括三星、华为、小米、Oppo 等。 拼多多在 3 月 5 日发布的 6.50 版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自 2020 年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。 在 6.50 版本发布后的两天,也就是 3 月 7 日,原本专门负责针对这些漏洞进行开发的 100 人左右的团队被突然解散 。
这些产品经理和程序员发现自己无法登陆内部通讯软件 Knock ,他们访问内部数据和文件的权限也被撤销。 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu ,但是有约 20 位针对安卓漏洞的核心开发人员仍然还留在拼多多。
不愧是拼多多,能在实锤还坦然自若,还能让国内媒体全部装死。
1
jdandelion573 OP 拼多多凭实力扭转我对它山寨便宜的印象,用深不可测的舆论管控能力,刷新我对它实力上限和道德下限的认知。
|
2
dbskcnc 2023-04-03 17:43:15 +08:00 10
支持深挖 Pdd,这种行为已经是大规模入侵了,只有继承了 gxx 的基因才能如此霸气。
|
3
xinh 2023-04-03 17:45:25 +08:00 via iPhone 4
不知道 pdd 后面有谁的白手套?
|
4
jdandelion573 OP @dbskcnc 100 多人的团队去攻击用户手机系统的漏洞,这团队规模说明这些行为是长期有计划的,全体高层都知晓的。最可怕的还是犯罪窃取几亿人信息后,被曝光后还能压住舆论,逍遥法外。这已经不是一家正常公司能做到的事了。
|
5
makelove 2023-04-03 17:57:42 +08:00 1
pdd 开发这些是怎么想的,笃定暴露了也没事?结果果然没事
|
6
qsnow6 2023-04-03 17:58:26 +08:00 23
就这帮人的操性,Tiktok 最近被架火上烤一点也不冤
|
7
delogn 2023-04-03 18:02:13 +08:00
所以这项目是怎么立项的呢。。。而且团队这么大,保密做得这么好。。。
|
8
cvbnt 2023-04-03 18:05:39 +08:00 via Android 1
在可预见的未来,temu 也会像 tiktok 一样的待遇
|
10
jacy 2023-04-03 18:30:59 +08:00
这种迟早会被发现,肯定提前准备了公关和应对,也印证了现在如此安静
|
11
xingL 2023-04-03 18:40:14 +08:00 28
拿几亿用户的隐私和中国 App 的声誉谋取利益,败露后监管机构和媒体全部装死,真是魔幻
|
12
zqlcrow 2023-04-03 18:41:05 +08:00
我先来:等一个官方发言,不传谣不造谣。
|
13
SteinsGate 2023-04-03 18:41:08 +08:00 via Android 2
不懂就问,有什么办法能让 pdd 受到上面的制裁
|
14
fairless 2023-04-03 18:45:10 +08:00 9
简直太可怕了,为什么整天盯着普通人断卡行动,这种大规模集团犯罪却屁事没有
|
15
fairless 2023-04-03 18:46:12 +08:00 1
如果石锤,这帮人都是妥妥破坏计算机信息系统罪了
|
16
jdandelion573 OP @xingL 这才是我最不能理解的事,这件事情佐证中国企业 APP 确实有盗取用户隐私的情况,哪怕出于最基本的法律程序,也会调查和罚款维护脸面。有关部门和媒体的装死相当于把中国企业的信誉一起毁掉,埋葬海外应用市场。
|
17
FozillaMox 2023-04-03 18:54:08 +08:00 via iPhone
感觉拼多多有后台。
|
18
zk8802 2023-04-03 18:57:23 +08:00 2
有一种可能:这些间谍功能是配合国安要求开发的,因此也当然会国安进行兜底。
|
19
yyf1234 2023-04-03 18:57:29 +08:00 via iPhone 4
以前我对«你法我笑»这个词挺抵触的,经过 pdd 这次之后,😁😁😁
|
20
jdandelion573 OP @FozillaMox 也是一样想法,虽然是无根据的猜想。但面对拼多多的死穴,商业竞争对手能忍着不出招,确实罕见,背后可能有普通人没法涉及的秘密,才会各方这么安静。
|
21
jdandelion573 OP @jdandelion573 或者说大家手上都不干净才会这么安静:)
|
22
Reid 2023-04-03 19:51:31 +08:00
一直好奇为啥这里没有人讨论前段时间 Tiktok 的公开辨证会
|
24
zzhzero 2023-04-03 21:24:02 +08:00
https://github.com/davinci1010/pinduoduo_backdoor
这个项目的第一次提交时间就是 3.7 懂了吗 |
26
Dogtler 2023-04-03 22:40:17 +08:00 via iPhone
pdd 只适合买菜和吃的,其它就算了吧。挂羊头卖狗肉比比皆是,没有任何质量保证
|
27
tkbo 2023-04-03 22:59:38 +08:00
国内怎么没媒体报道
|
29
est 2023-04-03 23:04:08 +08:00 1
> 一开始只针对小城市和农村地区的用户启用了这些攻击
其实这句话也可以理解为:很多农村手机里的 app 都有类似灰产后门。这是一个行业惯例。。。 |
30
yhtbiy 2023-04-03 23:04:44 +08:00
是不是又说明了 iPhone 手机比安卓手机安全
|
31
Cu635 2023-04-03 23:10:25 +08:00 5
这就是真正的黑社会。
“中国没有黑社会,只有黑恶势力和黑社会性质的组织”这句话已经不再适用了。 |
32
pista 2023-04-03 23:41:24 +08:00 via Android 4
拼多多是一家在美国上市的公司,因此,它需要遵守美国证券交易委员会( SEC )的监管规定,包括披露与其业务相关的信息,包括数据隐私和安全问题。如果拼多多利用漏洞侵犯用户隐私,未能披露此类风险,SEC 可以对其进行调查并采取法律行动,以保护投资者和公众利益。
|
34
bclerdx 2023-04-04 00:02:39 +08:00
|
35
kingfalse 2023-04-04 00:08:16 +08:00 via Android
他们总说我们自己人不支持国产,却永远不看看他们自己做了多少中国人骗中国人的事情
|
36
decade1024 2023-04-04 00:15:12 +08:00 via Android 8
@kingfalse 中国留学生在泰国被杀,凶手就是三个中国人,害中国人的 99%都是中国人,但是中国人大多数却对素未蒙面的外国人充满仇恨,认为全世界都在还害它。
|
37
wganbleuthall 2023-04-04 00:20:46 +08:00
@yhtbiy #30 我第一个想法也是这个 我用 ios 是不是就逃过了
|
38
agagega 2023-04-04 00:40:47 +08:00
B 站那些恰拼多多饭的 up 主有一个敢出来说的吗😁
|
39
PVXLL 2023-04-04 00:43:01 +08:00 via iPhone 1
对于企业家犯罪,我们要做到能不捕尽量不捕。
|
41
hlwjia 2023-04-04 00:53:42 +08:00
还以为股票能大跌,抄点底,没想到没跌多少就开始反弹。
生气! |
42
az467 2023-04-04 00:54:06 +08:00
Temu 被干死前看都不看
|
43
Andreas8 2023-04-04 00:57:00 +08:00 via iPhone
对外唯唯诺诺,对内重拳出击👊😅
|
44
cwcc 2023-04-04 01:04:54 +08:00
pdd 大概率是通了天的,看以往有关寻梦公司的新闻就能感觉出来。
|
45
wwbfred 2023-04-04 07:27:28 +08:00
什么,逆向拼多多?妥妥的非法侵入计算机信息系统罪😅
|
46
freeair 2023-04-04 07:44:34 +08:00 via iPhone
技术上不评论,自己原本日常是不用这 app 的,倒是有次实在没办法因为帮人“砍一刀”装了 app ,就放手机休眠了,但就觉得这东西看着怎么像传销似的,不靠谱。这次看到新闻,才想起手机里有这个 app ,赶紧注销账户后卸载了。
|
47
xianlu 2023-04-04 08:31:15 +08:00
永远支持拼多多,我说京东淘宝要挑战拼多多怎么尽是偏门,不愿真心付出的任何事物是得不到认可的,拼多多退货都是顺风上门的,隐私这东西在这个国家就像如来,见不到的,有什么要分析的。
|
48
abbenyyy 2023-04-04 08:35:33 +08:00
@wganbleuthall iOS 不升级系统,同样也有 oday 漏洞,理论上同样可以被利用,但是苹果会强制你升级系统,哈哈。
|
49
dddddd 2023-04-04 09:25:16 +08:00
这种行为在中国是牢底坐穿的犯罪
|
50
zhandouji2023 2023-04-04 09:43:39 +08:00 via iPhone
中国出海的公司都面临着“党大还是法大”这个问题
|
51
akring 2023-04-04 09:45:48 +08:00
将来 iOS 侧载一开肯定也是群魔乱舞
|
52
sky857412 2023-04-04 09:46:11 +08:00
在国外能罚到破产
|
53
qq565425677 2023-04-04 09:49:53 +08:00
说是这么说,问了一圈同学,多数人觉得自己手-机上的东西没什么见.不.得.人.的,而 p.d.d 的优..惠是实打实的
|
54
Greenm 2023-04-04 09:50:55 +08:00 10
我不恨拼多多,我只恨在证据确凿、有法可依的情况下仍然装死不声不响的当局。
有拼多多珠玉在前,南山必胜客,360 等大公司你猜他们会不会做类似的事呢,反正“我上头有人”。 为国内用户,特别是安卓用户感到悲哀。 |
55
mosfet 2023-04-04 10:05:07 +08:00
背后是李 X 啊,七武海
|
56
shuson 2023-04-04 10:05:30 +08:00
cnn 这些假洋鬼子记者 捕风捉影的能力真是不知廉耻
|
57
easymbol 2023-04-04 10:06:11 +08:00
破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统的正常运行,后果严重的行为。
有一个疑惑手机算不算在内? |
58
niolas 2023-04-04 10:09:16 +08:00
滴滴死的好冤枉
|
59
wuweijia 2023-04-04 10:10:41 +08:00
我看股票稳定甚至在持续上涨啊
|
60
ZeroDu 2023-04-04 10:15:50 +08:00
“开始只针对小城市和农村地区的用户启用了这些攻击” 绝了。这是目标用户并且被发现的概率低
|
61
mxT52CRuqR6o5 2023-04-04 10:18:47 +08:00 via Android
说明中国有很好的营商环境,股票上涨很正常
|
63
HariopaNic 2023-04-04 10:22:01 +08:00
sh 好不容易有一个大的互联网厂子,可不得睁一只眼闭一只眼
|
64
fournoas 2023-04-04 10:24:53 +08:00
> 为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击
真恶心 |
65
liuhaibin 2023-04-04 10:30:02 +08:00
拼夕夕 5 年前被骗过一次,从来没有装过了。有多远滚多远。
|
66
googleaccount 2023-04-04 10:30:06 +08:00
这个事情安全圈内应该早知道了,前几年知名大黑客 Flanker 因为不想干这事 被 PDD 恶心辞退, 大佬和 PDD 直接开撕。
|
67
justfun 2023-04-04 10:31:36 +08:00
海南省 gov 办公厅印发了《关于支持民营经济发展的若干措施》。其中提到,要营造公平公正法治环境。“贯彻落实少捕慎诉慎押刑事司法政策,对民营企业家涉案人员能不捕的不捕、能不诉的不诉、能不判实刑的不判实刑,能不继续羁押的及时予以释放或变更强制措施。”
|
68
googleaccount 2023-04-04 10:33:07 +08:00 1
|
69
723X 2023-04-04 10:44:30 +08:00 via Android
只能说什么样的土壤结出什么样的果实
|
70
zhaol 2023-04-04 10:49:18 +08:00
这件事一点水花都没有,要说 pdd 后面没人我是不信的。
|
71
ccYUI 2023-04-04 10:55:43 +08:00
@SteinsGate 中国软件应该收到保护,符合国家法规要求!!
|
72
georgezhang 2023-04-04 10:57:22 +08:00
反手立马注销账号
|
73
fengjianxinghun 2023-04-04 10:58:21 +08:00
@Greenm 可能已经做了很久了。
|
74
xmh51 2023-04-04 11:03:51 +08:00
干死 pdd 相关人员和主导者。全抓去坐牢去。
另外莫上纲上线。 |
76
xmh51 2023-04-04 11:07:48 +08:00 1
外媒报道挺好的,有的地方保护者无法无天了,pdd 在上海就是皇帝。
|
78
jdandelion573 OP @googleaccount 感谢这些有良知的人,唾弃那些作恶者和无所作为的监管,两者狼狈为奸。作恶可以毫无后果,被发现后装作什么事都没发生过,坚守道德底线遵纪守法却要丢工作,魔幻且讽刺。
|
79
aLazarus 2023-04-04 11:16:09 +08:00
换一种思路,这些境外媒体集体攻击国内的互联网厂商,企图打压国内的互联网发展,从而压制中国的经济发展。
国内已经明确了对民营企业家涉案人员能不捕的不捕、能不诉的不诉,但境外组织依然不依不饶,这不就是打了阿中哥哥的脸? |
81
jdandelion573 OP @aLazarus 现在中国人的隐私都需要外国 meiti 来维护,讽刺而又现实。从 sanlu 奶粉食品安全到 9 96 劳动 quanyi ,从 yq fengkong 人身财产安全再到现在的网络隐私安全,维护普通人 quanyi 这场辩论中,中国的专业 jizhe 显然已经退场,只剩下我们这些普通人在自呼自救。
|
82
jdandelion573 OP @jdandelion573 笑死,原来是 quanyi 两个字打不出来,这情况很符合我上面说的话。
|
83
mscsky 2023-04-04 11:32:39 +08:00
拼多多各种短视频之流确实农村用户比城市用户体验更差
|
84
dudubaba 2023-04-04 11:39:10 +08:00
工信部:你说什么?我看不见啊
|
85
SomeBodsy 2023-04-04 11:49:07 +08:00
李强牛逼
|
86
glfpes 2023-04-04 11:55:20 +08:00
即使这个信息被广而告之,国内人士仍然会继续使用 PDD ,因为它便宜,服务(退换货)做的合格。
我为什么敢这么说?因为我们团队的几个人首先是肯定知道这个事件的,然后他们还在使用 PDD 。 这可能是这是因为他们同时知道,自己的信息早就泄露了,虱子多了不咬人。 李彦宏那句中国人不需要隐私,是至理名言,感谢耿直的 robin 说了出来。 |
87
glfpes 2023-04-04 11:56:25 +08:00
我提到的这群人至少年薪 50W ,其中有俩带佬应该是年薪百万。
但在上海的房价面前,一样需要用 PDD 。 |
89
royzxq 2023-04-04 12:04:42 +08:00
反正 sh 会保,只能说并夕夕有恃无恐
|
90
K2 2023-04-04 12:08:11 +08:00
“ 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu” hhh
我用过 Temu 没用过 pdd 。。还好是 iOS |
91
uni 2023-04-04 12:23:03 +08:00
我手机里的谷歌框架这几天一直在让我卸载 pdd 。。。
|
92
Huelse 2023-04-04 12:43:22 +08:00
有上海在撑腰怕啥,就像华尔街卖债券卖出花来也有美联储兜底。
|
93
Leonard 2023-04-04 12:52:00 +08:00 via iPhone
爆出来有什么用,pdd 黑料还少了吗?违法犯罪不处罚,舆论影响都做不到( pdd 有钱,热搜压得太快),知道消息的人多半也不在乎(就算 v 站,过个几天一样到处讨论百亿补贴)
|
94
zhangsimon 2023-04-04 12:59:33 +08:00
上海老年得子…
|
96
sunamask 2023-04-04 13:26:06 +08:00
用微信 /支付宝的小程序不行吗?我不懂这行,不知道这么做对不对啊,但是我都是用绿蓝两个超一线 app ,开美团 /点评之类一线 app 的小程序的。
你可以不信安卓系统,但你一定可以相信国内这些大厂的蛊王。 |
99
Zero00favor 2023-04-04 13:54:12 +08:00
@easymbol 算得咯,前有用模拟定位钉钉打卡工具已经在踩缝纫机了。
|
100
bclerdx 2023-04-04 13:55:15 +08:00
@decade1024 没办法,毕竟年事已高了,思想与体力大不如年轻的时候了,有被迫害妄想症!
|