被曝利用漏洞攻击用户手机，你帮他砍一刀，它把你看精光

近日，据南方日报报道，国内知名独立数据安全研究服务机构深蓝DarkNavy日前发布一则报告称，有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机，窃取竞争对手软件数据，以防止自身被卸载。

一石激起千层浪，消息随后被各路大牛和广大网友热议。通过仔细对比和验证，网友发现该软件竟然是拼多多。而其利用的则是Android系统的漏洞。

此前，拼多多还专门设置了资深Android系统开发专家的岗位，知乎专业认证用户Gracker对他们的这种深入研究的精神进行了夸赞，而现在他打趣的说到：“还是自己太年轻了。”

01

极致的技术，却用在“深挖”用户

DarkNavy将这个漏洞称为「2022年度最“不可赦”漏洞」，并将其刊登在了《2022年度十大安全漏洞与利用》报告的第十篇。

说实话要找到完整的漏洞提权方法并实现，不是一件容易的事，但拼多多做到了。

为此，DarkNavy报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商OEM代码中的反序列化漏洞提权，提权控制手机系统之后，拼多多即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息，包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等。

图片来源：DarkNavy

之后，拼多多利用手机厂商OEM代码中导出的root-path FileContentProvider，进行System App和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；

随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；

甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

图片来源：DarkNavy

更可怕的是，拼多多竟然还在持续挖掘新的安卓OEM相关漏洞，颇有一种“流氓不可怕，就怕流氓有文化”的感慨。

最终，拼多多通过上述一系列隐蔽的黑客技术手段，在其合法App的背后，达到了：

隐蔽安装，提升装机量

伪造提升DAU/MAU

用户无法卸载

攻击竞争对手App

窃取用户隐私数据

逃避隐私合规监管

等各种涉嫌违规违法目的。

虽然此次事件刚刚曝光不久，但拼多多将各种违规操作掩藏在看似“人畜无害”的APP下作恶的行为，其实早就有迹可循。

02

远程删图、越权收信息、强制无法卸载

拼多多有些罄竹难书

古代形容人罪行很多，常常将之喻为用尽山上的竹子做竹简，都写不完他的罪行。而到了现代，互联网却可以承载。

互联网是有记忆的，随便在网上搜索就能发现拼多多过去的劣迹。早在2018年11月，中消协就曾点名拼多多。

当时中消协通报了100款App个人信息收集与隐私政策测评情况，多达91款App列出的权限存在涉嫌越界，但在侵犯用户隐私方面拼多多最为离谱，被列为通报典型案例。

中消协在通报典型案例中指出，拼多多APP对使用任一服务即表示同意本政策的所有内容以及首次使用即使未签署协议也视为同意的条款存在不合理性。

也就是说，拼多多在用户毫不知情的情况下，就强迫用户与拼多多签署了一份协议，这份协议授权拼多多随意收集用户隐私信息。只要你用了拼多多就代表同意，不签协议也算同意，妥妥的霸王条款。

而影响更大的则是拼多多的“远程删除图片事件”。2021年1月，有网友爆料其在参加拼多多裂变活动时，邀请新用户返现一百元，结果钱没拿到，证据截屏还被App远程删除。

手机相册涉及用户的众多隐私，如果能被随意调取，想想就很可怕。拼多多官方客服当时的回应称是网友清除缓存造成的，这显然站不住脚。

最有意思的是，拼多多最终给该网友的赔偿仅为30元代金券，且为6张5元券，需要邀请好友才能使用。

在拼多多的眼里，你的隐私可能只值一点代金券，还需要拉上你的亲朋好友一起被割，才肯施舍，将用户的每一滴剩余价值运用到极致。

翻看黑猫投诉平台，也能找到拼多多利用漏洞的大量实例，众多用户反馈无法删除拼多多APP。

2022年5月，有用户反映其发现小米程序无法卸载拼多多，“我选择长按应用图标点击旁边的卸载功能，里面确弹出了类似电脑应用卸载页面，企图给你挖坑让你无法卸载拼多多，且试图挽回些什么。我选择了继续卸载。直到今天早上我才发现，拼多多完成了自动升级。但是我手机里根本就没有拼多多，哪里都看不到。后来我在小米应用商店里发现，拼多多一直都在，根本就没有卸载过。”

对此情况有技术人员表示，拼多多典型的特性就是安装后在桌面上创建快捷方式，用户实际上卸载或删除的只是快捷方式，并非其本体。其本体可以继续在后台违法获取隐私信息，有些电脑上“流氓软件”全家桶的感觉。

在无法卸载的同时，拼多多利用技术手段伪造提升DAU/MAU，攻击竞争对手的APP，也被不少网友曝出。微博和小红书上有大量网友表示，其在阿里系购买物品的物流信息却在拼多多里有显示。

这不禁让人想到，此前拼多多曾在致股东信中提到，电子商务是试图理解每次点击背后的人性化，它试图通过分析人与人之间的联系和信任来聚合相似的需求。

现在看来，拼多多的“理解”和“分析”都有点太深了。

犹记2018年，百度李彦宏在2018中国发展高层论坛上说：“中国人愿意用隐私换取便利”，遭致大量网友口诛笔伐。

其实他后面还说了一些话，“衡量是否使用用户数据的标准，是在用户同意后，用隐私让用户受益，那就会用。”

根据用户同意，用户受益的两个原则，拼多多背后获取隐私并损害用户体验的做法无疑是背道而驰的。

03

技术没有对错，但科技应该向善

如今在世界范围内，保护隐私都是各项议题的重中之重，但却屡禁不止。其实这是一个很朴素的逻辑，对盗用、滥用乃至交易用户隐私、数据等权益所获取的利益与所带来的法律后果进行对比，一旦发现违法成本过低，就会将侵犯用户隐私权益异化为本小利大的稳赚生意，从而难以禁绝。

为此，不少业内人士建议防范隐私问题需要政府与社会的政策严控。美国Meta就是个很好的例子。

在Meta还叫Facebook的时候，曾为了隐私诉讼付出了42亿元的代价。

由于Facebook在其照片标记功能中使用了面部识别技术，这项功能允许用户在他们在上传到Facebook的照片中标记好友，创建指向好友个人资料的链接，而平台却未经同意扫描用户上传的面部图像，此举违反了伊利诺伊州的《生物识别信息隐私法》。由此，160万名受影响用户的代表向法院提起了集体诉讼。

根据美国当地法院的和解判决，法院同意Facebook向约160万名用户支付共6.5亿美元，约合人民币42亿元的赔偿费用。

无论以何种标准衡量，这项6.5亿美元的和解是一个里程碑式的结果，是针对隐私侵犯诉讼有史以来规模最大的和解之一，足见提高隐私侵犯违法成本是有成效的。

作为用户，可以从自身角度提高安全意识和隐私保护理念。比如在安装APP时，应仔细阅读其数据收集请求，根据个人情况来选择是否提供。而且在提供信息的时候，要遵循“供所必需”的原则，不提供超出业务需求之外的信息。

但值得注意的是，提高自身防范意识绝不是对企业可以“作恶”的纵容。企业向善是种选择，也是一种必要的责任。

尤其是大企业，能收集数据找到漏洞，是技术上的能力，但要不要利用数据和漏洞，则是企业的自我修养。