研究机构披露拼多多利用漏洞,非法获取竞对信息,阻止用户卸载APP
近日,研究机构“DarkNavy”发文披露某国产APP恶意利用系统漏洞,非法提权获取用户隐私及争对手商业信息,远程遥控用户设备,并阻止用户卸载自身APP。据信该APP指的是“拼多多”。
文章中提到,该APP利用Android系统的Parcel序列化与反序列化不匹配漏洞,能够实现0Day/NDay攻击,绕过系统校验,获取系统级StartAnyWhere能力,提升自身权限。
提权控制手机系统之后,该APP随即进行了一系列的非法违规操作,绕过隐私监管规则,开始手机中的用户隐私信息,包裹WiFi信息、位置信息、社交媒账号资料、基站信息、路由器信息,甚至能够绕过系统为应用设置的沙箱规则,采集竞争对手软件的信息。
在此之外,该APP还会改写系统配置文件,实现为自己应用的保活,修改用户桌面设置隐藏自身icon,欺骗用户防止自身被卸载等。最后,该APP甚至能够通过覆盖动态码文件来劫持其他应用注入后门执行代码,实现更加隐蔽的后台长期保活,并利用“云控开关”远程遥控应用非法行为,让检测与监管无从下手。
有软件行业人士发现,解压拼多多APP之后就能够在asset中找到AliveBaseAbility提权代码。不过在该新闻发酵之后,拼多多在更新之后删除了这段代码。
许多拼多多用户在知乎平台反映,拼多多应用会通过漏洞将自己图标替换成widget(桌面小组件),删除或隐藏(通过变透明 、伪装成天气应用等)应用icon,以此逃避卸载,也有用户发现,在桌面长按icon触发的次级菜单中,拼多多能够删除系统级别的卸载按钮。
据悉,Android 13中已经修复了Pa0rcel机制漏洞,能够杜绝绝大部分此类黑客攻击。不过鸿蒙和未升级到Android 13的设备用户,仍然处于被该漏洞攻击的危险之中。
图片来源于网络
电科技(www.diankeji.com)是一家专注于全球TMT行业的领先资讯媒体。
作为今日头条青云计划、百家号百+计划获得者,2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者,曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。
投稿、商务合作请联络微信公众号
声明: 本站原创文章文字版权归电科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表电科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。
猜你喜欢
-
付款后商家虚假发货,卷钱跑路?拼多多被网友集体投诉
-
拼多多All in实体经济,大数据赋能国货崛起
-
iQOO Z6系列携手拼多多百亿补贴,3期免息还有耳机免费送