卡巴斯基实锤拼多多App恶意代码

谢明亮

出品|开源中国
根据彭博社昨日的报道，卡巴斯基实验室的安全研究人员证实拼多多 App 包含恶意代码，此前谷歌已将其从官方应用商店 Play Store 中下架。








在对恶意代码的首批公开报告之一中，卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。它测试了通过中国本地应用商店分发的应用版本 —— 包含来自华为、腾讯和小米的应用市场。
卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用，该公司表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。
这些结论在很大程度上与过去几周其他研究人员在网上发布的结论一致，尽管彭博新闻社尚未证实早期报道的真实性。
目前微博上关于此事的讨论已上榜热搜。



网络安全专家 @sunwear 也发表了对此事的看法：



除了卡巴斯基实验室，另外一家安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析也确认了独立安全研究机构 DarkNavy 的指控。初步分析显示，至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。
该漏洞是 Google 在 3 月 6 日公开的，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。



Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本，都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。
目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码，通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。
<hr/>昨日，OSCHINA 微信公众号此前报道的相关文章《某国产电商 APP 利用 Android 漏洞细节曝光：内嵌提权代码、动态下发 Dex》收到了来自拼多多主体公司的投诉，投诉类型是 “内容侵犯名誉 / 商誉 / 隐私 / 肖像”。然而那篇文章从头到尾都没有指名道姓地说是哪家公司、哪款 APP。



update：
3 月 28 日，第一财经就卡巴斯基发现拼多多 App 包含恶意代码一事进行了询问。
卡巴斯基对第一财经回应称：已经从安全研究员 Igor Golovin 那里得到了评论，拼多多 APP 的部分版本包含恶意代码，利用已知的 Android 漏洞提权，下载并执行额外的恶意模块，其中一些还获得了访问用户通知和文件的权限。我们的产品将这些版本检测为 HEUR:Backdoor.AndroidOS.Pinduo.a。该应用程序的受感染版本是通过一个本地应用程序商店分发的。
卡巴斯基同时表示，作为背景信息，我们没有发现这个恶意版本，我们只是检测到它。换言之，含恶意代码的版本不是卡巴斯基第一个发现的。但是在该版本中卡巴斯基确实监测出了恶意代码。
来源：https://finance.sina.com.cn/tech/roll/2023-03-28/doc-imynkyaa1518200.shtml

尼古拉斯阿兵

这在国外算写病毒了。把中国人口碑都做坏了，以后中国app出海只会越来越难

宗万

俄罗斯不是中国人最亲密的战友吗[doge]

古即

在国内惯的毛病

想飞的螃蟹

村里横行霸道惯了，以为哪里都一样[大笑]

未来的自己

这会儿又不舍得把破坏计算机系统罪拿出来了[吃瓜]

王方均

本地安全人员早就发现的问题，最后却要借助外国公司才能锤动，厉害了

茹古涵今

我们中国的app用不着外国人说三道四！[生气]

电杆老中医

我们这有司从来都不止是看不懂恶意代码这种业务能力差，所有意义上都差

你给我闪一边子去

看起来还是ios好，好用流畅还安全。只是可惜没有通话录音和nfc门禁卡这两个刚需功能。