拼多多:我们被解散了,因写了恶意代码,操控用户的手机
- 如果评论区没有及时回复,欢迎来公众号:ByteCode 咨询
- 公众号:ByteCode。致力于分享最新技术原创文章,涉及 Kotlin、Jetpack、算法、译文、系统源码相关的文章
hi 大家好,我是 DHL。公众号:ByteCode ,专注有用、有趣的硬核原创内容,Kotlin、Jetpack、性能优化、系统源码、算法及数据结构、大厂面经。
在上一篇文章中 某大厂如何利用系统漏洞,控制用户整个手机系统 分析了拼多多是如何将 普通应用权限提升到系统权限,收集更多用户的信息,甚至可以随意操控用户的手机,做更多他们想做的事,而且一旦安装,就很难删除,这简直就是手机界的 360。
我已经将相关违规的 dex 转成了 Java 文件,在后台回复:pdd,即可获取
被爆出之后,谷歌公司发言人埃德·费尔南德斯在一份声明中表示:“将拼多多 APP 下架是一种安全预防措施,谷歌的软件防护服务 Google Play Protect 将会阻止用户从谷歌商店中下载拼多多的 APP,并且已经下载了该 APP 的用户也会收到警告,提示他们进行卸载”
在继谷歌之后,俄罗斯知名的反病毒软件卡巴斯基也石锤它,该实验室的研究人员证实该拼多多安装恶意代码,操控用户的手机系统。
有安全专家表示,目前市面上所有的 App 都会收集用户的数据,但是他们从未看到过一个主流应用会像拼多多那样做,利用公开的系统漏洞,提升到系统权限,来收集更多的用户的数据。拼多多 “已经将侵犯隐私和数据安全的行为“ 提升到一个新的水平。
近期在脉脉上有匿名拼多多员工称,公司在 2020 年组建了一支由大约 100 名工程师和产品经理组成的团队,致力于挖掘 Android 手机漏洞。
最初不敢在全国范围内展开攻击,刚开始只是针对农村和小城镇的用户,避开北京上海之类大都市的用户,此举旨在降低被暴露的风险。
通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。
现在被爆出来之后,拼多多于 2023.03.05 号发布的新版本删除恶意代码,两天之后拼多多解散了攻击团队,但是还保留了 20 核心骨干继续挖掘漏洞,第三天团队大部分成员,发现自己无法使用内部通讯工具,也无法访问公司内网。
消息称,虽然拼多多已经删除漏洞代码,但是底层代码任然存在,并且还继续保留了多名核心骨干继续挖掘漏洞。
对于旧版本,虽然拼多多关掉该功能,但是还能在后台继续运行,并追踪用户使用其他购物 APP 的活动,以便于监视竞争对手动态。除此之外,“拼多多” 还可在未经用户同意下,得知用户定位、手机联络人、行事历和相簿,还能更改系统设置,看到用户的聊天纪录。
有网友提问,这个开发行为,是部门自作主张,还是高层授意?
这个毫无疑问是高层授意的,因为在 2021 年的时候拼多多安全团队的负责人天才黑客 Flanker,只因不愿意做黑客攻击,被强行辞退,并且赖账应得到补偿奖金期权上亿。
Flanker,15 岁上浙大,22 岁斩获世界黑客大赛冠军
如此大佬都因拒绝黑客攻击被强制辞退,更何况团队其他成员呢,所以只能被迫营业了。
全文到这里就结束了,感谢你的阅读,坚持原创不易,欢迎在看、点赞、分享给身边的小伙伴,我会持续分享原创干货!!!
真诚推荐你关注我,公众号:ByteCode ,持续分享硬核原创内容,Kotlin、Jetpack、性能优化、系统源码、算法及数据结构、动画、大厂面经。
我开了一个云同步编译工具(SyncKit),主要用于本地写代码,然后同步到远程设备,在远程设备上进行编译,最将编译的结果同步到本地,代码已经上传到 Github,欢迎前往仓库 hi-dhl/SyncKit 查看。
近期必读热门文章
- 广播 goAsync 源码分析,为什么 Google 大佬都在使用它
- 国外大厂面试题, 7 个 Android Lifecycle 重要的知识点
- Android 13这些权限废弃,你的应用受影响了吗?
- Android 利器,我开发了云同步编译工具
- Twitter 上有趣的代码
- 谁动了我的内存,揭秘 OOM 崩溃下降 90% 的秘密
- 反射技巧让你的性能提升 N 倍
- 90%人不懂的泛型局限性,泛型擦除,星投影
- 90%的人都不知道的知识点,Kotlin 和 Java 的协变和逆变
- 揭秘反射真的很耗时吗,射 10 万次耗时多久
- Android 12 已来,你的 App 崩溃了吗?
- Google 宣布废弃 LiveData.observe 方法
- 影响性能的 Kotlin 代码(一)
- 揭秘 Kotlin 中的 == 和 ===
开源新项目
云同步编译工具(SyncKit),本地写代码,远程编译,欢迎前去查看 SyncKit
KtKit 小巧而实用,用 Kotlin 语言编写的工具库,欢迎前去查看 KtKit
最全、最新的 AndroidX Jetpack 相关组件的实战项目以及相关组件原理分析文章,正在逐渐增加 Jetpack 新成员,仓库持续更新,欢迎前去查看 AndroidX-Jetpack-Practice
LeetCode / 剑指 offer,包含多种解题思路、时间复杂度、空间复杂度分析,在线阅读
- 本文作者:hi-dhl
- 本文标题:拼多多:我们被解散了,因写了恶意代码,操控用户的手机
- 本文链接:https://hi-dhl.com/2023/04/09/Note/pingduoduo2/
- 版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 hi-dhl
