拼多多 ”小动作“ 疑似卷土重来

2023 年 2 月 28 日微信公众号深蓝发布原创文章《「深蓝洞察」2022 年度最“不可赦”漏洞》，正式扯下了拼多多鲜为人知的遮羞布：

但 2022 年，有知名互联网厂商竟持续挖掘新的安卓 OEM 相关漏洞，在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。
......
Android Framework 中一个核心的对象传递机制是 Parcel，希望被通过 Parcel 传递的对象需要定义 readFromParcel 和 writeToParcel 接口函数，并实现 Parcelable 接口。
理论上来讲，匹配序列化和反序列化函数应当是自反等效的，但系统 ROM 的开发者在编程过程中可能会出现不匹配的情况，例如写入的时候使用了 writeLong，读取的时候却使用了 readInt。
这类问题在运行过程中一般不会引起注意，也不会导致崩溃或错误，但在攻击者精心布局下，却可最终利用 Settings 和 system_server 进程，将这个微小的错误转化为 StartAnyWhere 提权。
Android 近年来累计已修复上百个这类漏洞，并在 Android 13 中对 Parcel 机制做了改革，彻底杜绝了大部分此类攻击面。
但对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说，他们仍处于危险之中。
.......
提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）：
......
之后，该 App 进一步使用的另一个黑客技术手段，是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider，进行 System App 和敏感系统应用文件读写；
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；
随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；
甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。
......
最终，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法 App 的背后，达到了：
隐蔽安装，提升装机量
伪造提升 DAU/MAU
用户无法卸载
攻击竞争对手 App
窃取用户隐私数据
逃避隐私合规监管
等各种涉嫌违规违法目的。
目前，已有大量终端用户在多个社交平台上投诉反馈：该 App 存在莫名安装、泄漏隐私、无法卸载等问题。
这些行为不仅拉低了行业底线，破坏了公平竞争，更严重侵犯了用户的隐私，可能违反相关法律法规。

文章发布后，部分网友对拼多多软件进行脱壳、解密、分析，与文章图片比对证实为拼多多；事情进一步发酵后，包括俄罗斯著名安全厂商卡巴斯基、Lookout 等也进一步证实了该报告的真实性，随后谷歌将拼多多标记为病毒并从谷歌商店下架。

卡巴斯基同时表示，作为背景信息，我们没有发现这个恶意版本，我们只是检测到它。换言之，含恶意代码的版本不是卡巴斯基第一个发现的。但是在该版本中卡巴斯基确实监测出了恶意代码。

与此同时，拼多多一边疯狂投诉、举报微信公众号等平台的相关报道，向蓝点网、OSCHINA 等知名媒体网站发律师函警告；另一边连夜发布去除相关代码的新版本，借以平息舆论，同时解散了相关漏洞挖掘安全团队，但仍保留部分核心成员分派到其他部门从事其他工作。

2023 年度 Pwnie Awards 的 “最差厂商奖” 提名花落 “拼多多 (or TEMU)”，被提名理由是：在 App 植入后门、窃听用户信息，被 Google 踢出应用市场，被卡巴斯基实锤曝光后，拼多多不仅拒不承认，还反而指责 Google 的处罚，并悄悄删除恶意代码、解散木马团队。