转载:https://twitter.com/mtrainier2020/status/1640468793184092160
此前谷歌已下架拼多多APP
谷歌暂时将拼多多 App 从 Play 应用商店下架 | 谎伴导航 (nav.liesys.com)
俄罗斯的卡巴斯基还是耿直,确认了拼多多的脏事。
这个事情第一个爆出来的是 https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw 不点名的指出有上亿装机量的app像病毒一样给手机安装后门,收集用户个人信息。包括聊天记录,浏览记录,消息,通知,gps,Wi-Fi信息。你能想的到的隐私数据。
后来有安全人员,分析指出这个app就是拼多多。并做了非常详细的分析,发布了中英双语的报告。
https://github.com/davincifans10 … oor_detailed_report
详细阐述了android版拼多多是如何偷隐私,装后门的事情。
https://github.com/davinci01010/pinduoduo_backdoor_x
拼多多采取的策略是
1. 拼多多火速销毁证据。
2. 否认深蓝报告说的就是pdd。
但是爆料者明显有备而来,估计report到Google那边去了,然后google确认后,把拼多多从google商店下架了。
卡巴斯基今天出来又拍了一块砖,以其专业性确认了拼多多确实在装后门。
这个漏洞非常强大:基本上可以完全控制你的android。锁bootloader的android手机也一样。因为pdd是用的0day。
好几年前,阿里巴巴如日中天到时候,一直有人质问上海为什么出不了阿里巴巴。上海憋了一肚子气,结果出来一个拼多多。
仗着地方政府的撑腰,横行霸道。假冒伪劣,盗版侵权横行,砍一刀欺诈。没想到它还长期玩这种黑客手段。真的牛逼!
这个事情,微博上的日娃跳出来质问有关监管部门为何视而不见。我觉得他估计很快要被禁言了。
另外拼多多和国内安全圈子有个陈年多恩怨。 就是国内有个天才白帽黑客,15岁浙大。19岁杀进defcon决赛的flanker,因为不愿意违法犯罪,放弃进亿的期权,从拼多多离职了。 这件事情惹了众怒。
这次的中英文研究报告,一看就是业内人干的。
take away:
1. 尽量不要使用拼多多系产品。
以前在网上有个骗局就是1块钱买个usb hub/鼠标这种东西。收不到也会给你退钱。你惦记他的鼠标。他惦记你的个人信息。
2. 尽量使用iPhone。