这是一个创建于 402 天前的主题,其中的信息可能已经有所发展或是发生改变。
近日,据南方日报报道,国内知名独立数据安全研究服务机构深蓝 DarkNavy 日前发布一则报告称,有知名互联网厂商通过挖掘安卓厂商 OEM 代码中的反序列化漏洞攻击用户手机,窃取竞争对手软件数据,以防止自身被卸载。
一石激起千层浪,消息随后被各路大牛和广大网友热议。通过仔细对比和验证,网友发现该软件竟然是拼多多。而其利用的则是 Android 系统的漏洞。
DarkNavy 将这个漏洞称为「 2022 年度最“不可赦”漏洞」,并将其刊登在了《 2022 年度十大安全漏洞与利用》报告的第十篇。
说实话要找到完整的漏洞提权方法并实现,不是一件容易的事,但拼多多做到了。
为此,DarkNavy 报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,拼多多即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息,包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等。
来源: https://www.chiphell.com/thread-2501143-1-1.html
一石激起千层浪,消息随后被各路大牛和广大网友热议。通过仔细对比和验证,网友发现该软件竟然是拼多多。而其利用的则是 Android 系统的漏洞。
DarkNavy 将这个漏洞称为「 2022 年度最“不可赦”漏洞」,并将其刊登在了《 2022 年度十大安全漏洞与利用》报告的第十篇。
说实话要找到完整的漏洞提权方法并实现,不是一件容易的事,但拼多多做到了。
为此,DarkNavy 报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,拼多多即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息,包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等。
来源: https://www.chiphell.com/thread-2501143-1-1.html
 |
1
ericshehong 2023-03-15 11:18:43 +08:00
拼多多真是够够了
|
 |
2
fat00119 2023-03-15 18:33:36 +08:00 via Android
X:/⇥MhvJKEwvGEx8c⇤ 复制并打开拼多多 APP ,549 元购买百亿补贴 [3 人团] 七彩虹 2TB SSD 固态硬盘 M.2 接口 nvme 协议 CF600 镭风系列,仅剩 2 个名额
|
Select Language