MENU

PDD会给你装后门,大家注意了!

转载自Twitter用户@mtrainier2020

俄罗斯的卡巴斯基还是耿直,确认了拼多多的脏事。
这个事情第一个爆出来的是 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 不点名的指出有上亿装机量的app像病毒一样给手机安装后门,收集用户个人信息。包括聊天记录,浏览记录,消息,通知,gps,Wi-Fi信息。你能想的到的隐私数据。
后来有安全人员,分析指出这个app就是拼多多。并做了非常详细的分析,发布了中英双语的报告。
https://github.com/davincifans101/pinduoduo_backdoor_detailed_report

详细阐述了android版拼多多是如何偷隐私,装后门的事情。
https://github.com/davinci01010/pinduoduo_backdoor_x
拼多多采取的策略是

  1. 拼多多火速销毁证据。
  2. 否认深蓝报告说的就是pdd。

但是爆料者明显有备而来,估计report到Google那边去了,然后google确认后,把拼多多从google商店下架了。
卡巴斯基今天出来又拍了一块砖,以其专业性确认了拼多多确实在装后门。

这个漏洞非常强大:基本上可以完全控制你的android。锁bootloader的android手机也一样。因为pdd是用的0day。

好几年前,阿里巴巴如日中天到时候,一直有人质问上海为什么出不了阿里巴巴。上海憋了一肚子气,结果出来一个拼多多。
仗着地方政府的撑腰,横行霸道。假冒伪劣,盗版侵权横行,砍一刀欺诈。没想到它还长期玩这种黑客手段。真的牛逼!

这个事情,微博上的日娃跳出来质问有关监管部门为何视而不见。我觉得他估计很快要被禁言了。

另外拼多多和国内安全圈子有个陈年多恩怨。 就是国内有个天才白帽黑客,15岁浙大。19岁杀进defcon决赛的flanker,因为不愿意违法犯罪,放弃进亿的期权,从拼多多离职了。 这件事情惹了众怒。
这次的中英文研究报告,一看就是业内人干的。

take away:

  1. 尽量不要使用拼多多系产品。
    以前在网上有个骗局就是1块钱买个usb hub/鼠标这种东西。收不到也会给你退钱。你惦记他的鼠标。他惦记你的个人信息。
  2. 尽量使用iPhone。

本文转载自网络,如侵权请联系删除。

你不知道的暗号 你不知道的蜜语 你不知道的导航

若浏览器无法打开文章或视频,请更换使用 [Chrome/Fierfox/Opera/Alook] 等浏览器
无法打开请更换 浏览器 或更换 网络 DNS,被劫持通常是你的网络DNS被劫持污染
若网络无法打开文章或视频,请切换 (电信数据网络运营商) 或 (WIFI),或更改网络DNS(自行百度)

Archives QR Code
QR Code for this page
Tipping QR Code
Leave a Comment