V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
euph
V2EX  ›  互联网

卡巴斯基确认拼多多 APP 的中国版本中存在恶意代码

  •  8
     
  •   euph · 2023-03-28 08:45:44 +08:00 · 14978 次点击
    这是一个创建于 631 天前的主题,其中的信息可能已经有所发展或是发生改变。

    卡巴斯基确认拼多多 APP 的中国版本中存在恶意代码

    总部位于莫斯科的卡巴斯基实验室的安全研究人员在 PDD 的中国购物应用拼多多版本中发现并概述了潜在的恶意软件,此前谷歌将其从其安卓应用商店中下架。

    在对恶意代码的首批公开报告之一中,卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用版本,华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。

    卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用,该公司表示,它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。

    这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致,尽管彭博新闻社尚未证实早期报道的真实性。

    这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。 虽然拼多多主要在中国使用,但 PDD 的另一款应用 Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。 它尚未像 ByteDance Ltd. 的 TikTok 那样成为立法者审查的焦点。

    来源: https://www.bloomberg.com/news/articles/2023-03-27/pinduoduo-app-malware-detailed-by-cybersecurity-researchers#xj4y7vzkg

    第 1 条附言  ·  2023-03-28 10:40:55 +08:00
    目前微博热搜第二
    90 条回复    2024-02-27 12:44:00 +08:00
    buyan3303
        1
    buyan3303  
       2023-03-28 08:58:51 +08:00   ❤️ 5
    没办法,国内的互联网企业,不从代码上剖析、复现,
    他们依然会以“不是近期 APP 代码”、“没有复现”、“恶意猜测”等理由 给搪塞过去。
    另外之后再给你发律师函。

    如果锤人的是国外的个体或者公司,那么就可以利用 ai 国情绪把这个负面给压下去。
    twofox
        2
    twofox  
       2023-03-28 09:01:31 +08:00   ❤️ 50
    工信部避重就轻是最令人恶心的,这么大个公司,做出这种侵犯隐私的事情,居然一点声浪都没有。
    linxl
        3
    linxl  
       2023-03-28 09:09:33 +08:00   ❤️ 2
    转发这个消息会不会收到律师函。。。
    Greenm
        4
    Greenm  
       2023-03-28 09:24:00 +08:00   ❤️ 40
    美国,俄罗斯都看到了,就中国看不到,结合滴滴因为信息安全被处罚的事件来看,中国官方对于老百姓的隐私只在乎是否被境外势力获取,至于境内势力都是自己人,随便卖随便搞,会处罚算我输。
    d873139022
        5
    d873139022  
       2023-03-28 09:26:05 +08:00   ❤️ 2
    这是不是说明 ios 系统管理的更好呢,貌似没看过拼多多在苹果手机上暴露出安全问题
    yyf1234
        6
    yyf1234  
       2023-03-28 09:34:07 +08:00 via iPhone   ❤️ 3
    @twofox 他们给的实在太多了
    Ljmac
        7
    Ljmac  
       2023-03-28 09:36:04 +08:00
    哈哈哈,毕竟不是滴滴叛国投敌 ,PDD 属于人民内部矛盾
    sincus
        8
    sincus  
       2023-03-28 09:37:02 +08:00   ❤️ 6
    @Greenm 中国官方真的在乎老百姓隐私是否被境外势力获取? 应该是只在乎赵家人的隐私吧。
    xinh
        9
    xinh  
       2023-03-28 09:41:38 +08:00   ❤️ 12
    不,他们并不在乎被谁获取了,只在乎是否影响他们的利益
    guazila
        10
    guazila  
       2023-03-28 09:42:09 +08:00
    不管别人还用不用,反正我从此不用 PDD 了。这种行为哪像一个大型商业公司,收集隐私明明可以在明面上给个用户协议,我敢说 99%的用户都不会在意的,会点同意,偏要用这种下三滥的手段。
    swulling
        11
    swulling  
       2023-03-28 09:45:07 +08:00 via iPhone   ❤️ 14
    @d873139022 主要是 iOS 不允许侧载,你看 pdd 在 Play Store 上的版本也没后门。Google 算是提前封禁。

    这就是统一应用商店的好处,你敢用 0day ,发现后那就等着被永久下架吧。


    所以我坚定支持 iOS 禁止侧载。
    testver
        12
    testver  
       2023-03-28 09:46:12 +08:00
    xhao 我只用 IOS ,找我没装 PDD 。
    niolas
        13
    niolas  
       2023-03-28 09:50:40 +08:00
    昨天已经删除 pdd
    yvescheung
        14
    yvescheung  
       2023-03-28 09:51:06 +08:00   ❤️ 3
    PDD 证明了有一个好的后台是多么重要,有了后台,杀人放火都可以是无罪的
    BUHeF254Lpd1MH06
        15
    BUHeF254Lpd1MH06  
       2023-03-28 10:12:18 +08:00   ❤️ 1
    @d873139022 iOS 是沙盒机制,APP 能获取的权限非常少,开发者想存个广告唯一标识都得费老大劲各种钻
    jacy
        16
    jacy  
       2023-03-28 10:13:49 +08:00
    外交部:中俄合作没有止境、没有禁区、没有上限
    dbskcnc
        17
    dbskcnc  
       2023-03-28 10:14:29 +08:00   ❤️ 2
    @swulling 问题根本不是侧载,是没人管理,各个层面到现在都没一丁点声音,就算要要坛,还不是有不少获取了利益的人在帮着洗地。

    我的观点是强奸犯就是强奸犯(还是性质特别恶劣的那种),即使他平时也给大众带来了一点利益。
    dbskcnc
        18
    dbskcnc  
       2023-03-28 10:15:24 +08:00
    @dbskcnc 就算要要坛 -> 就算本坛
    VYSE
        19
    VYSE  
       2023-03-28 10:15:40 +08:00   ❤️ 1
    李 X 书记召开的这个会,齐聚 B 站拼多多饿了么等掌门人,共话在线新经济

    5-10 年内没人敢动 PDD
    emSaVya
        20
    emSaVya  
       2023-03-28 10:17:02 +08:00   ❤️ 4
    @dbskcnc 不是怎么突然都开始装外宾了?比 pdd 这玩意严重的事多了去了, 哪个管了?
    IDAEngine
        21
    IDAEngine  
       2023-03-28 10:18:57 +08:00   ❤️ 2
    证明国内的应用商店都是为国内某些利益集团服务,不是为用户
    qk3z
        22
    qk3z  
       2023-03-28 10:22:26 +08:00   ❤️ 1
    大家一起去工信部的公众号-工信微报投诉 pdd 啊
    websterq
        23
    websterq  
       2023-03-28 10:24:47 +08:00
    非杠,本人也不咋用 pbb ,只是好奇问一下,为啥:“发现了早期版本的拼多多” 今天突然爆出来,另外早期用 pbb 的不都是大家都用的微信里的小程序吗,现在的 pbb 还有这个问题吗
    kaedea
        24
    kaedea  
       2023-03-28 10:30:19 +08:00 via Android
    按照问题的描述,安装过 pdd 的,卸载都没有,要手机恢复出厂设置。
    dbskcnc
        25
    dbskcnc  
       2023-03-28 10:32:14 +08:00
    @emSaVya 就事论事,不要扯太远。 别人我是没办法,zf 又不为民处理,个人只能避开流氓并以自己的实际行动(卸载停止使用)谴责之。
    beimenjun
        26
    beimenjun  
       2023-03-28 10:36:25 +08:00   ❤️ 21
    感觉 TikTok 要被 PDD 送的子弹给弄死了。
    hazardous
        27
    hazardous  
       2023-03-28 10:42:08 +08:00   ❤️ 1
    一言一行都阐释了这个企业是如何的没有下限,然而不但没有任何惩罚,却赚的盆满钵满,这何尝不是一种鼓励呢。
    dbskcnc
        28
    dbskcnc  
       2023-03-28 10:42:58 +08:00   ❤️ 14
    @emSaVya 少一些看客行为,这个社会会好上些许。
    让您举白纸,估计你不愿意, 停止支持流氓只需要卸载和停止在它上面消费,这么简单的事情,很多人都无动于衷,还一个劲地给它洗地。这个世界有千千万万的罪恶,这并不是给它开脱的理由。
    helloworld2048
        29
    helloworld2048  
       2023-03-28 10:46:39 +08:00
    企业文化,pdd 内部的 im 软件还要求有手机的控制权呢
    dc25b
        30
    dc25b  
       2023-03-28 10:47:02 +08:00   ❤️ 1
    我知道锅应该还是在产品经理,但我真的好奇,开发这些 feature 的程序员心里什么感受?这种既有开创性又有挑战性的项目经历,跳槽的时候好意思写到简历里吗?
    Microi
        31
    Microi  
       2023-03-28 10:58:38 +08:00
    谷歌和卡巴斯基都是外国的,他们能定义“恶意”吗?
    我怎么看都是善意代码,为了防止用户不小心删除 App 以及防止 App 不读取隐私导致广告推得不合适,是为用户好。😎
    pcmgr456
        32
    pcmgr456  
       2023-03-28 11:04:57 +08:00   ❤️ 4
    pdd 在国内后台很硬的,不然为啥这么嚣张,各种标题党欺诈活动,国内想告 pdd 的人多了去了,你看有几个争取到合法权益的,pdd 在海外就乖多了,说送钱就真的送钱,不然老外可就不客气了
    calano
        33
    calano  
       2023-03-28 11:05:38 +08:00   ❤️ 1
    swulling
        34
    swulling  
       2023-03-28 11:08:58 +08:00   ❤️ 1
    @dbskcnc
    > 问题根本不是侧载,是没人管理,各个层面到现在都没一丁点声音,就算要要坛,还不是有不少获取了利益的人在帮着洗地。

    只要有管理,就有权力寻租。宁愿相信商业公司 Apple 的操守,也不信任某个 xx 部门能够高效且有效的应对这种事情。

    所以本质就是宁愿让商业公司比如 Apple 掌握 App 上下架的权力,也不愿意让 xx 部门掌握。

    一问就是加强监管,越管越死。
    fengleiyidao
        35
    fengleiyidao  
       2023-03-28 11:09:16 +08:00
    抵制俄国公司,支持乌克兰娜🇺🇦
    0o0O0o0O0o
        36
    0o0O0o0O0o  
       2023-03-28 11:17:08 +08:00 via Android   ❤️ 13
    @websterq #23

    其实并不早期,「 DarkNavy 」一个月前 2023-02-28 发的:

    https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

    当时只在安全圈子热度高,过了近一周 2023-03-05 该 APP 才发了新版避风头(对这种企业,不分析你都很难确定是真删掉了还是加强了混淆和保护,动态下发的文件不让下载了连证据你都不好拿)。

    其实昨天引爆此事的 sunwear 在「一个月前」也发了微博,只不过在意的人有限,毕竟这种专业知识并不常规,包括很多数码爱好者甚至大部分开发者也都很难意识到这是一场「骇人听闻的黑客攻击事件」。后来被 Google play 下架、被「非中国」新闻媒体报道,直到被卡巴斯基这种大众熟知的老牌安全品牌提及。

    该 APP 灰黑产风格已久,没看到有相关部门管过。V2EX 也有过其它方面的讨论:

    https://v2ex.com/t/887582?p=1

    一个月了,最该站出来保护中国人的那些人毫无作为,连声音都没有。如果这算给境外势力递刀子,那我只希望多来点。

    https://github.com/davinci1010/pinduoduo_backdoor
    https://github.com/davinci1012/pinduoduo_backdoor_unpacker
    https://github.com/davincifans101/pinduoduo_backdoor_detailed_report
    Bad0Guy
        37
    Bad0Guy  
       2023-03-28 11:18:32 +08:00
    没用啊,当初 Google play 下架 pdd 这事儿新闻出来的那天,我眼睁睁看着上一秒文章还在 IT 之家的新闻报道里,下一秒刷新了显示“该文章不存在,404”,再看看今年的 315 ,你指望那帮人干人事?什么你法我笑
    shwnpol
        38
    shwnpol  
       2023-03-28 11:35:31 +08:00
    国产 app 全部消失了也不影响我的生活,包括微信支付宝:)
    qbox
        39
    qbox  
       2023-03-28 11:48:04 +08:00   ❤️ 1
    用个漏洞干个增加日活促成交的事情,洒洒水而已。更深层次的信息监控,那可是全局的
    polobug
        40
    polobug  
       2023-03-28 11:51:41 +08:00
    @dbskcnc 是的 应该向美国那边学习,直接禁用抖音,避免隐私泄漏
    或者是 facebook 在英国的数据操纵几年后才发现一样,
    dbskcnc
        41
    dbskcnc  
       2023-03-28 12:10:39 +08:00
    @qbox 有人用了特别手段进了你家,他说只是为了喝口水而已,你愿意相信就好
    kaedea
        42
    kaedea  
       2023-03-28 12:24:54 +08:00 via Android
    有没有 pdd 的技术现身说法?这种需求产品是怎么跟技术沟通的?打哑谜啊?
    flyflyfly14
        43
    flyflyfly14  
       2023-03-28 12:30:01 +08:00
    垃圾公司 垃圾 APP
    FightPig
        44
    FightPig  
       2023-03-28 12:34:55 +08:00
    好奇是不是论坛的哪个程序员写的
    cirzear
        45
    cirzear  
       2023-03-28 12:37:52 +08:00
    看完赶紧卸载了,这行为不就是病毒么
    hhjswf
        46
    hhjswf  
       2023-03-28 12:39:58 +08:00 via Android
    这已经是犯罪了,负责人要坐牢的,比滴滴严重多了
    QWE321ASD
        47
    QWE321ASD  
       2023-03-28 12:45:04 +08:00
    有没有什么办法把腾讯的老版本搞过去揭发下,当年 3q 大战腾讯依靠背后力量一直坚持扫盘到今天,真实恶心人。我已经在蓝鸟上用 tiktok 和 temu 的 tag 揭发腾讯的劣迹了。
    0x6c696e71696e67
        48
    0x6c696e71696e67  
       2023-03-28 13:04:44 +08:00   ❤️ 7
    有没有人研究过国家反诈这个 APP ,感觉这里面有不少私货
    dko
        49
    dko  
       2023-03-28 13:40:13 +08:00
    法不入长宁
    Leonard
        50
    Leonard  
       2023-03-28 13:46:23 +08:00
    现在看微博热搜没有啊,pdd 还是有钱啊,热搜撤得挺快
    heishu
        51
    heishu  
       2023-03-28 13:56:24 +08:00
    @0x6c696e71696e67 这可不兴研究啊
    tyzandhr
        52
    tyzandhr  
       2023-03-28 14:02:13 +08:00 via Android
    @0x6c696e71696e67 研究了也不敢说出来啊
    KIzuN1
        53
    KIzuN1  
       2023-03-28 14:06:14 +08:00
    @0x6c696e71696e67 想戴镯子了是吧
    JL1990
        54
    JL1990  
       2023-03-28 14:09:52 +08:00
    是不是只能手机恢复出厂设置才能完全卸载
    deesan
        55
    deesan  
       2023-03-28 14:43:53 +08:00
    理论上:这足以造成拼多多的滑铁卢,让拼多多的信用归 0 ;
    现实中:长宁必胜客;
    x86
        56
    x86  
       2023-03-28 14:59:35 +08:00
    @kaedea #42 这种 0day 级别的东西感觉就那么几号人掌握着,pdd 这么多开发不可能各个都知道这个吧
    w99wjacky
        57
    w99wjacky  
       2023-03-28 15:03:55 +08:00   ❤️ 1
    @v135ex 安卓也有沙盒机制的,PDD 是用的系统漏洞提权。
    iOS 也有系统漏洞,不过因为都是 APP Store 分发,大公司也没这个胆子,小公司没这个技术
    jalen
        58
    jalen  
       2023-03-28 15:20:15 +08:00
    洗洗睡, 几天就过去了。
    daquandiao2
        59
    daquandiao2  
       2023-03-28 15:28:20 +08:00
    @x86 #56
    https://www.zhihu.com/question/587624599/answer/2927765317 看下这个回答倒数第二张图
    lyxeno
        60
    lyxeno  
       2023-03-28 15:31:32 +08:00
    @twofox 我觉得已经不只是简单的侵犯隐私行为了,这不就是在入侵用户的设备吗.夕夕真的恶心
    32
        61
    32  
       2023-03-28 15:34:05 +08:00   ❤️ 1
    @daquandiao2 不到 5 分钟, 已经跳不过去了
    6IbA2bj5ip3tK49j
        62
    6IbA2bj5ip3tK49j  
       2023-03-28 15:37:01 +08:00
    境外势力又来抹黑中国厂商了。一定是 PDD 的保活技术打破了国外的垄断!
    Celebi
        63
    Celebi  
       2023-03-28 15:38:06 +08:00 via iPhone
    @0o0O0o0O0o #36 所以更新 app 到 2023-03-05 之后的版本或者更新系统到 Android 13 就可以解决这个问题了吧?
    chaoshui
        64
    chaoshui  
       2023-03-28 15:40:33 +08:00
    @daquandiao2 你似乎来到了没有知识的荒原 #doge
    vonxing
        65
    vonxing  
       2023-03-28 15:40:49 +08:00
    @daquandiao2 这么快就知识的荒原了...
    Xianmua
        66
    Xianmua  
       2023-03-28 15:58:32 +08:00
    @0x6c696e71696e67 个人的观点是,当已经开始怀疑一个东西的时候,最好的选择就是不要用,离得越远越好。帖子这类事儿,没后续是大概率的,想不通的可以反复思考这句话,"一切以经济建设为中心",多的就不说了
    yyyh
        67
    yyyh  
       2023-03-28 16:05:53 +08:00   ❤️ 1
    热搜已经不见……
    gniviliving
        68
    gniviliving  
       2023-03-28 16:23:59 +08:00
    @yvescheung #14 从来都是杀人放火金腰带,修桥补路无尸骸
    TubroRock
        69
    TubroRock  
       2023-03-28 16:23:59 +08:00   ❤️ 2
    “京海这么多年,花了这么多钱,不就是今天用的吗”
    euph
        70
    euph  
    OP
       2023-03-28 17:07:35 +08:00 via Android
    @Celebi 理论上说直接更新不能解决问题,更新 app 版本也不能,因为这个时候应用已经获得权限了
    ooooo
        71
    ooooo  
       2023-03-28 17:40:27 +08:00
    所有的安卓手机,如果不是安卓 13 ,无一能幸免吧?

    Google Play 上的版本也有后门吗 ?
    sqzdy8
        72
    sqzdy8  
       2023-03-28 20:23:30 +08:00
    拼多多 app 有些功能确实不怎么样
    passall
        73
    passall  
       2023-03-28 20:34:23 +08:00
    来源怎么不是“卡巴斯基”的网站?
    WinG
        74
    WinG  
       2023-03-28 21:03:17 +08:00
    普遍违法,选择执法.
    Ankommen
        75
    Ankommen  
       2023-03-28 22:16:16 +08:00
    我的已经被 Google play 自动卸载了。
    dbskcnc
        76
    dbskcnc  
       2023-03-28 22:17:54 +08:00 via Android
    这里有个详细的文档, pdd 是相当深入, 触目惊心, 这样的 app 不卸载还待何时.
    https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf
    pipilu
        77
    pipilu  
       2023-03-28 22:36:56 +08:00
    android12 以下千万不要安装 PDD
    boatrain1111
        78
    boatrain1111  
       2023-03-28 22:40:05 +08:00
    iOS 做得好
    hackpro
        79
    hackpro  
       2023-03-29 00:44:17 +08:00 via iPhone   ❤️ 1
    @qk3z #22 你看看有没有人理你😄
    ewagnmoscy
        80
    ewagnmoscy  
       2023-03-29 01:08:20 +08:00
    @ooooo 一样的,google play 前几天不仅是下架,还检测你手机里有没有安装,无论来源是不是从 play 商店安装都强制卸载掉
    BZGOGO
        81
    BZGOGO  
       2023-03-29 06:45:18 +08:00 via iPhone
    换 iPhone 喽……要说窃取隐私,最明目张胆的莫过于反诈 app
    CSGO
        82
    CSGO  
       2023-03-29 09:13:05 +08:00
    在中国,只看手机验证码,我都没办法验证是我账号,只有手机验证码。
    neoblackxt
        83
    neoblackxt  
       2023-03-29 13:51:14 +08:00
    @guazila 他可不止收集通常意义上用户的愿意分享的那些数据,你的聊天记录,app 使用记录,各种搜索记录,你愿意分享吗,就算用户愿意,那些被攻击的 APP 厂商都不愿意。太无耻了,这家公司的软件已经没法用了,就算升级系统了又怎样,他们会继续挖掘新系统的漏洞,使用下三滥的手段他们轻车熟路。
    neoblackxt
        84
    neoblackxt  
       2023-03-29 13:55:27 +08:00
    安全厂商就盯着 PDD 就行了,花活多着呢,没准还能学着新东西。谁才是安全大厂阿,PDD:没错,正是在下。
    ColorRabbit
        85
    ColorRabbit  
       2023-03-29 15:09:20 +08:00
    pdd 卡老外脖子了 所以要封他 手动狗头
    0o0O0o0O0o
        86
    0o0O0o0O0o  
       2023-03-31 16:03:32 +08:00 via iPhone
    @neoblackxt #84 可怕的事实是:你为什么会觉得国内的安全厂商、互联网大厂、手机厂商对此事不知情?
    neoblackxt
        87
    neoblackxt  
       2023-03-31 21:20:41 +08:00
    @0o0O0o0O0o 应该说内的安全厂商、互联网大厂、手机厂商中大多数对此事禁声,而且发声的第一财经文字稿被撤稿 404 ,保留了视频稿(忘了撤?),只有少数国内厂商 darknavy 和个人发声揭露,有的还不能直接提及名讳。这背后的能量是巨大的。上次那个拍加班同事被送上救护车照片的在脉脉上匿名发帖却被直接定位到人的员工被迅速开除,HR 姿态逆天,说明这家公司除了流氓之外还报复心极强,无法无天!什么网络安全法,非法侵入计算机系统罪,在这个公司面前就是废纸一张。
    0o0O0o0O0o
        88
    0o0O0o0O0o  
       2023-03-31 21:55:14 +08:00
    @neoblackxt #87 装聋作哑的监管、某多的肆意妄为是丑陋的,这是毋庸置疑的。

    我的观点是,这些厂商的噤声也很可疑:
    1. 我确信它们知道某多作的恶;
    2. 看分析报告也可以知道,某多已经直接侵犯到它们的产品,对这些厂商来说,就算不奢求做生意的人讲道德,那起码要讲利益吧?它们完全可以以别的商业理由起诉,而不只是网络发声(事实上连网络发声也没有)。

    所以我只能认为知情不报的安全厂商、互联网大厂、手机厂商与某多是一丘之貉,均不值得信任。
    workingonescape
        89
    workingonescape  
       2023-04-24 10:43:08 +08:00
    “所以我只能认为知情不报的安全厂商、互联网大厂、手机厂商与某多是一丘之貉,均不值得信任。”,国内的 OV 可是 PDD 的兄弟啊,OVP 三家的老板都是步步高段老板的弟子,哪能兄弟阋墙
    weirking
        90
    weirking  
       295 天前
    发现大厂的软件,电脑上也是,到处搜隐私,没人管
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3335 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 11:23 · PVG 19:23 · LAX 03:23 · JFK 06:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.