这是一个创建于 598 天前的主题,其中的信息可能已经有所发展或是发生改变。
CNN 发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。邀请来自多国的技术专家检验了拼多多 2 月份发布的 6.49 版本的安装包,其中 3 家机构详细检验了拼多多的代码,在调查中发现拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。
拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为 http://com.google.android 的文件夹中发现了拼多多的代码。在发现的总计约 50 个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商 OEM 系统漏洞的,包括三星、华为、小米、Oppo 等。 拼多多在 3 月 5 日发布的 6.50 版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自 2020 年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。 在 6.50 版本发布后的两天,也就是 3 月 7 日,原本专门负责针对这些漏洞进行开发的 100 人左右的团队被突然解散 。
这些产品经理和程序员发现自己无法登陆内部通讯软件 Knock ,他们访问内部数据和文件的权限也被撤销。 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu ,但是有约 20 位针对安卓漏洞的核心开发人员仍然还留在拼多多。
不愧是拼多多,能在实锤还坦然自若,还能让国内媒体全部装死。
 |
103
bclerdx 2023-04-04 14:00:22 +08:00
@zhandouji2023 正常情况下,后者大于前者,哈哈哈
|
 |
104
artnowben 2023-04-04 14:03:11 +08:00
前不久,我一篇测试阿里云网络性能的文章被禁
前几个星期,我用自己的开源网络测试仪 dperf https://github.com/baidu/dperf 测试阿里云的性能,发现了小包丢包比较多,写一篇测试云网卡性能的文章,然后我的文章直接在知乎上被禁了。 |
|
105
bclerdx 2023-04-04 14:07:11 +08:00
|
 |
106
OnionJuice 2023-04-04 14:15:24 +08:00  1
这件就是对 pdd 的资本保护伞,xx 起家的背叛了 xx 。
@glfpes #86 中国人需要隐私,看对谁,普通人存个公开的裤子都会被抓的。 |
 |
107
rpish 2023-04-04 14:18:06 +08:00
如果情况属实,真是大开眼界了。
科技巨头利用系统漏洞窃取普通用户隐私,历史级的骚操作。 |
 |
108
byte10 2023-04-04 14:19:13 +08:00
好像上次就曝光了,在 git 仓库就有说明。
|
 |
109
zheshiasd 2023-04-04 14:21:50 +08:00
@HariopaNic 这也是我的猜测, 不然就 pdd 那个投诉量。。。。啧啧。
|
 |
110
allegory 2023-04-04 14:32:08 +08:00
网安法名存实亡
|
 |
111
kkk1234567 2023-04-04 15:28:33 +08:00
pdd 是最牛逼的。 国内多次检查通报 android 版本 app 的侵权、违规 各种清单,从没见过夕夕上榜
|
 |
112
BUHeF254Lpd1MH06 2023-04-04 15:51:52 +08:00
@jdandelion573 个人感觉这次事也只是拼多多赶到了好时候而已,今年的政策风向就是一切以稳定为主,除了稳定还是稳定,一点负面新闻都不能传播开来。
不负责任猜想,结合最近对企业的风向,zf 对于这种民企负面新闻主动进行降温向民企示好的可能性也不是不可能。 在联想前两年对民企的态度,一把长刀在手,连斩美团滴滴腾讯阿里,把拼多多这事放到去年只会是又给他们找到了一个出刀的契机 |
 |
113
javlib 2023-04-04 15:59:09 +08:00
在中国开公司:
错误姿势:遵纪守法,善待员工,对公司的要求高于法律,打造客户欢迎,公众尊敬的公司。 正确姿势:qnm 的法律和道德,只要别惹恼 zf ,别死人,老子为了赚钱想干啥干啥,只要钱赚够了,我就是 zf 的座上客,群众羡慕崇拜的对象 现在 pdd 为我们指明了方向,以后大家创业知道怎么做了吧 |
 |
114
janus77 2023-04-04 16:31:23 +08:00 1
我反正一直是对白嫖和利用国内公司的服务不抱愧疚感的
|
 |
115
aptupdate 2023-04-04 16:39:15 +08:00 via iPhone
有一说一拼多多这代码写的真不错,项目结构、变量命名、设计模式、甚至代码规范都挑不出毛病。阅读起来就很舒服,代码质量这块可以说比我做过的所有项目都要好。。。
奈何不干人事!!! |
 |
116
huijiewei 2023-04-04 16:42:28 +08:00
都怪卡巴斯基。。。。搞的想骂美国不怀好意都不好入口。只能躺下装死了。
|
 |
117
fnmgzbv2 2023-04-04 16:42:29 +08:00 via iPhone
大家都是程序猿,至於這樣互相詆毀嗎?
|
 |
118
ttwxdly 2023-04-04 16:56:03 +08:00
不利于团结的事情不要说出来。
|
 |
119
zzhzero 2023-04-04 23:46:10 +08:00
@shuson 哈哈哈 cnn 确实不是什么好东西 但这件事不要转移话题 连代码都逆向出来了还在这洗 pdd 是给你多少钱买棺材了
|
 |
120
onice 2023-04-05 11:01:36 +08:00
法律面前,还是有很多灰色地带。涉及到比较大的主体,基本都是民不举,官不究。pdd 这次事件,指望境外媒体,指望个别安全研究员,是不太现实的。安全研究员逆向 pdd ,本身都算违法了,所以他们个人行为而言,都是不愿发声的。对于境外媒体,pdd 完全可以解释为境外媒体的抹黑。况且,官老爷也不懂技术,pdd 这次事件也没有造成社会动荡,官老爷也不会在意这件事的。如果 pdd 造成大量用户手机系统无法开机,估计要有这类严重的后果后,然后大量用户举报,估计官老爷才会出手。这一切都是中国特色罢了。
|
Select Language