我要把这玩意染成绿的

2.4万亿恒大负债可追回来吗?追回来做什么?

沙俄侵占领土有罪,但今天威胁中国领土安全的不是俄罗斯

百级男主播被女主播曝出“不举”!男方“私聊发图”极力自证!专治口嗨!

妻子“坐实出轨”!头部男主播选择原谅“继续婚姻”!已达成F律协定,遭水友吐槽!

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

至少两家安全厂商宣布拼多多App存在恶意代码

软餐君 软餐 2023-04-02

软餐获悉,在谷歌从 Google Play 商店下架拼多多 App 之后,两家网络安全厂商宣布,在“拼多多”App 中发现了植入恶意代码的证据。

卡巴斯基

当地时间 27 日,网络安全厂商卡巴斯基驻莫斯科的安全研究人员声称,发现了网购应用 “拼多多” 应用程序的部分版本中存在恶意代码。

卡巴斯基测试了发布在多个应用商店的版本,陈述了拼多多 App 如何提升自己的权限,以破坏用户隐私和数据安全。该机构披露称,发现的证据可证明之前一些版本的拼多多 App 利用系统软件漏洞安装后门,获得对用户数据和通知的未授权访问。卡巴斯基安全研究人员 Igor Golovin 表示:“某些版本的拼多多 App 包含恶意代码,利用已知的安卓漏洞来提权、下载并执行其他恶意模块,其中一些还可以访问用户的通知和文件。”

Lookout

除了卡巴斯基,总部位于旧金山的网络安全厂商 Lookout 的研究人员也表示,他们发现了存在于拼多多 App 部分版本中的恶意代码。

Lookout 的披露更为详尽。该机构分析发现,至少两个非 Google Play 版本的拼多多 App 利用了漏洞 CVE-2023-20963,这是谷歌于 3 月 6 日公开的安全漏洞,该漏洞被利用后可以提升权限且无需用户的交互。拼多多于 3 月 5 日前发布的两个版本中,均被植入了利用漏洞 CVE-2023-20963 的代码。

目前来看,似乎只有通过 Google Play 和苹果 App Store 发布的版本未发现恶意代码,但鉴于谷歌已将其从 Google Play 下架,用户仍需保持高度警惕。

过去几周,已有网安研究人员在互联网上公开了类似的研究结论。

3月初,网络安全机构DarkNavy发布《2022最“不可赦”漏洞》一文,指出有知名互联网公司通过挖掘安卓 OEM 代码中的反序列化漏洞攻击用户手机。

文章虽未直接指名道姓,但文中提及的“无法卸载”、“隐蔽安装”等特征,让人很容易联想到拼多多 App ——文章发布后,社交媒体上大量相关讨论和分析也几乎一边倒地直指该应用。

全世界在等拼多多的解释

上周谷歌下架拼多多 App 后,拼多多曾经给出了一个含糊其辞的回应,该公司在邮件中表示,谷歌的声明不具有决定性,谷歌也暂停了另外一些应用程序,并非只暂停了拼多多。但拼多多并未对此详细说明。

有分析人士指出,面对 Google Play 的检测和下架动作,拼多多的声明 “含糊其辞、避重就轻,什么都没说”。

再重温一下谷歌的下架声明。谷歌发言人在一份声明中表示:“已通过 Google Play Protect 强制执行该应用程序的离线版本,这些版本被发现包含恶意软件…如果用户的设备上下载了恶意版本的应用程序,则会收到警告并提示他们卸载该应用程序。在我们继续调查的同时,出于安全考虑,我们已经暂停了该应用程序的 Play 版本。”

公开数据显示,截至2021年6月,拼多多年度活跃用户量达8.499亿。截至2022年第二季度,拼多多移动端MAU(月活用户量)高达5.95亿,在Android平台上的安装量超过400亿次。

作为绝对的头部应用程序,拼多多的一招一式直接影响大部分国人的设备安全、数据安全、信息安全和隐私安全。面对网络安全研究机构的结论,作为负责任的中概股科技公司,拼多多亟需给出解释。

全世界都在等拼多多给出一个解释。

文章有问题?点此查看未经处理的缓存