知名互联网厂商 APP 利用漏洞非法控制用户手机窃密:安卓/鸿蒙均受影响
fairytale · 2023-03-02 20:22:14 +08:00 via Android · 29950 次点击这是一个创建于 623 天前的主题,其中的信息可能已经有所发展或是发生改变。
该互联网厂商使用了多种黑客手段,实现对用户手机的提权、隐私信息收集、应用防卸载、应用长期驻留后台等违法违规行为;
研究员警告,这些是此刻正发生在数以亿计手机上的真实案例,且对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说,他们仍处于危险之中。
有知名互联网厂商持续挖掘新的安卓 OEM 系统相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞。
。。。。。。
这是哪个大厂?
研究员警告,这些是此刻正发生在数以亿计手机上的真实案例,且对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说,他们仍处于危险之中。
有知名互联网厂商持续挖掘新的安卓 OEM 系统相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞。
。。。。。。
这是哪个大厂?
 |
1
oxromantic 2023-03-02 20:26:02 +08:00  1
盲猜小而美
|
 |
2
dfly0603 2023-03-02 20:28:53 +08:00 7
⭕️DD
|
 |
3
madNeal 2023-03-02 20:31:30 +08:00
这不是公开的秘密嘛,
|
 |
4
eason1874 2023-03-02 20:31:39 +08:00 7
肯定不是微信,微信都是光明正大让手机厂商留后门的,他们开发了什么东西用来抢占系统资源,要求手机厂商适配,手机厂商为了微信不卡也愿意配合
十有八九是拼多多,禁止所有自启动,在进程管理杀掉它,过几个小时你会发现它又出现在进程里了 |
|
5
eason1874 2023-03-02 20:35:29 +08:00
说到虚假卸载,我手机安装了几十个国内大厂的 APP ,只有拼多多是在右键菜单里添加虚假“卸载”菜单的,甚至还有个“移除”
|
 |
6
xcodeghost 2023-03-02 21:52:57 +08:00 2
怪不得 pdd 冷启动怎么那么快呢,原来他妈的一直利用系统漏洞在长期驻留后台
|
 |
7
learningman 2023-03-02 21:59:00 +08:00 2
|
 |
8
me404 2023-03-02 22:03:12 +08:00 via iPhone 1
nb ,用我妈的 oppo 试了下,所有第三方的 app 长按图标都能显示卸载按键,只有 pdd 和自带软件一样,没有卸载按键
|
 |
9
Leon406 2023-03-02 23:56:03 +08:00 23
https://s2.xptou.com/2023/03/02/6400c6c1d7982.png
下载 pdd, jadx 看了下,还真是 |
 |
10
systemcall 2023-03-03 00:14:02 +08:00 via Android
感觉是有云控吧,我的拼多多就没这个问题,但是家里人的拼多多就有,还能自动播放视频,他们很喜欢
|
 |
11
flyqie 2023-03-03 00:41:15 +08:00 via Android
话说有老哥测试了这个洞吗?
挺好奇能不能读写 /data/system 。 如果能的话倒是可以利用起来干点正向的事情。 |
 |
12
Slurp 2023-03-03 00:45:12 +08:00 11
「安卓 /鸿蒙」鸿蒙还有必要单独列?……
|
 |
13
fengleiyidao 2023-03-03 00:54:07 +08:00 1
说 linux 不就行了?反正都是 linux 套壳。
|
 |
14
Ocean810975 2023-03-03 01:04:43 +08:00 via Android
@Slurp 最近爆出的大漏洞,有个是安卓有鸿蒙没有的吧,就是那个无障碍还是啥绕过密码的那个。
|
 |
15
happyabs 2023-03-03 01:26:26 +08:00 5
连夜把几大毒瘤 APP 都装回两年前的旧版, 再把所有浏览器都升级到最新版 /doge
 有需要的自取, 都是 play 版, 扫描过, 是原版, 要用啊妹你看的梯子 pdd: https://apk.support/app/com.xunmeng.pinduoduo/download?v=NS4zNy4w&e=fefb569c35 zhihu: https://apk.support/app/com.zhihu.android/download?v=Ny41LjA=&e=fff9509e jd: https://apk.support/app/com.jingdong.app.mall/download?v=OS4wLjg=&e=f3fb559b3c meituan: https://apk.support/app/com.sankuai.meituan/download?v=MTEuMTEuMjI5&e=faf9519c35441092f3ea tb: https://apk.support/app/com.taobao.taobao/download?v=OS4yMC4wLjEx&e=f8fa55 firefox: https://apk.support/download-app/org.mozilla.firefox edge: https://apk.support/download-app/com.microsoft.emmx |
 |
16
datou 2023-03-03 01:45:34 +08:00
难怪 pdd 只允许一个账号同时登录一个设备,我心说你又不是网游或者 IM
|
 |
17
6IbA2bj5ip3tK49j 2023-03-03 02:03:23 +08:00 1
PDD 可以说是最没有底线的大厂了,甚至和一些流氓软件相比,都要更过份。
|
 |
18
Thymolblue 2023-03-03 07:53:47 +08:00 via Android 1
play 版受影响吗
|
 |
19
docx 2023-03-03 08:10:52 +08:00 via iPhone
用小程序够了,拼多多对微信还是很 Open 的
|
 |
22
h4dWDy259W6zw3Z4 2023-03-03 08:37:41 +08:00 via iPad
还是 ios 比较安全吧
|
 |
23
superares 2023-03-03 08:45:59 +08:00 via iPhone
说 pdd 就不奇怪了,京东马上要出百亿补贴了
|
 |
24
Marionic0723 2023-03-03 09:01:16 +08:00
@superares 狗咬狗也好,只要不是 3Q 大战那种恶性竞争就好,两边打起来对消费者可能还有利些,反正两个都不是好东西。
|
 |
25
MiniUniverse 2023-03-03 09:11:05 +08:00 via Android
@happyabs 给 阿妹你看 的音译点赞!
|
 |
26
bl4ckoooooH4t 2023-03-03 09:13:59 +08:00
原来是 PDD 一直没猜到
|
 |
27
mscsky 2023-03-03 09:27:07 +08:00
长期驻留后台好像说的哪个国产 app 不这样干一样。特别是阿里系
|
 |
28
zqlcrow 2023-03-03 09:28:03 +08:00 17
Android 的漏洞,竟然鸿蒙也有。
Android 抄鸿蒙实锤啊。 手动狗头 |
 |
30
RiverMud 2023-03-03 09:40:24 +08:00
@Ocean810975 小米也没有
|
 |
31
msclelo 2023-03-03 09:41:06 +08:00 via iPhone
pdd 这么溜,还装它干嘛
|
 |
32
vvhy 2023-03-03 09:46:45 +08:00
我在看了《我在拼多多的三年》之后就决定再也不用拼多多了
|
 |
34
gaochuax 2023-03-03 09:50:59 +08:00
pdd 之前不是让他们的安全部门老大黑客攻击别人嘛。
|
|
35
vvhy 2023-03-03 09:54:23 +08:00 5
之前 Flanker 因为拒绝做黑客攻击被 pdd 辞退,原来是这个,哈哈
|
 |
36
monkeyzsf 2023-03-03 10:05:38 +08:00 1
miui 13 ,pdd 可以正常卸载,也不会自启动
|
 |
37
Crump 2023-03-03 10:10:42 +08:00
从来没用过这个软件,也叮嘱家人不要用,平时只用🐶东、亚马逊+淘宝
|
 |
39
hankli 2023-03-03 10:21:16 +08:00
牛逼,丝滑
|
 |
40
zhongjun96 2023-03-03 10:22:00 +08:00
@Ocean810975 #14 PUK 漏洞国内就没看到哪个厂家有,毕竟国内就没谁家是原生 AOSP
|
 |
41
cheese 2023-03-03 10:30:42 +08:00
惊了,所以 pdd 冷启动这么快,是因为偷偷常驻后台?
|
 |
42
a4854857 2023-03-03 10:31:07 +08:00
vivo origin os 拼多多卸载是正常的..
|
 |
43
cheng6563 2023-03-03 10:38:54 +08:00
MIUI 表示进 pdd 应用设置里“强行停止”按钮是灰色的,根本没有后台运行。
|
 |
44
hellofuxk 2023-03-03 10:39:55 +08:00
楼主牛比
|
 |
45
cc666 2023-03-03 10:53:47 +08:00
安卓 13 好像修复了,只影响没升级的
|
 |
46
wwwe 2023-03-03 10:58:32 +08:00 16
"美国竟如此惧怕一款 App"
|
 |
47
zbinlin 2023-03-03 11:26:42 +08:00
怎么没人向国家机关举报呢?
|
 |
50
sprite82 2023-03-03 11:42:51 +08:00
@xcodeghost pdd 安装包才 27 兆,抢占低价市场,专门给老年机优化,快点不是很正常?支付宝冷启动也很快,支付宝也一直后台驻留?什么逻辑,人家优化的好就活该被喷
|
 |
51
Chad0000 2023-03-03 11:57:39 +08:00 6
总之一句话:能避开国产 APP 就避开。
没有诚信,和最起码的良心。 |
 |
52
sparkpark 2023-03-03 12:25:58 +08:00
多多不奇怪,当年有多多员工表示被上级要求黑竞争对手的服务器,都是基操
|
 |
53
showgood163 2023-03-03 13:12:26 +08:00
|
 |
54
LZSZ 2023-03-03 13:16:13 +08:00
只用 PDD 小程序
|
 |
55
AlexHsu 2023-03-03 13:22:24 +08:00 7
为什么自研 os 会受到安卓系统漏洞影响
|
 |
56
love2075904 2023-03-03 13:28:26 +08:00
当然是拼多多啊。。。。
|
 |
57
Fuhuang 2023-03-03 14:13:21 +08:00
@Ocean810975 我看到有人反馈 HM 特定版本也有这个
|
 |
58
LuciferGo 2023-03-03 14:22:00 +08:00 via iPhone
@oxromantic 猜错了,是并夕夕
|
|
59
LuciferGo 2023-03-03 14:24:11 +08:00 via iPhone
@me404 是的,而且我以前下载,同意了隐私协议再卸载重新安装是要再重新确认隐私协议的,现在变成直接进去不需要重新同意,说明是伪卸载
|
 |
60
tunggt 2023-03-03 14:41:46 +08:00 via Android
你说的应该是拼多多吧,其实国内 app 都这样。
你是开发者,你也愿意这么搞。 |
 |
63
ShakuganShana 2023-03-03 15:12:17 +08:00
还是安卓好啊,
|
 |
64
fdrag0n 2023-03-03 15:37:33 +08:00 1
积分厂之前就爱用国内各家的 URL 跳转漏洞来营销,根本不在乎刑法第 285 和 286 条的,毕竟爱丁堡纳税大户
|
 |
65
hellomynameis 2023-03-03 15:48:45 +08:00
@AlexHsu 你自己想想看看?
如果想辩解的话,也可以 拼多多只做了 APK 格式安装包,没有为 HomoOS 定制 HPK 格式安装包,HomoOS 需要使用“安卓兼容层”运行安卓应用,所以受到安卓系统漏洞影响 |
 |
66
psklf 2023-03-03 16:04:46 +08:00
赶紧升级 Android13
|
 |
69
ShadowPower 2023-03-03 16:33:02 +08:00
MIUI 12.5 ,Android 11 上的拼多多也可以通过桌面图标卸载,无后台……
莫非它和安卓的差异比鸿蒙还大? |
|
70
AlexHsu 2023-03-03 16:50:14 +08:00
@hellomynameis 这个角度可以啊😄
|
 |
71
youxiachai 2023-03-03 17:06:00 +08:00
@ShadowPower 你没看原文.. 有云控..
|
 |
72
slack 2023-03-03 17:13:44 +08:00
谔谔,直到我在知乎上看到这个 https://www.zhihu.com/question/438844179
|
 |
73
YAOMFFL 2023-03-03 17:16:30 +08:00
@hellomynameis hhhh ,HomoOS
|
 |
74
xyjincan 2023-03-03 17:19:04 +08:00
卸载了
|
 |
75
aogu555 2023-03-03 17:29:59 +08:00 1
gov 监管隐身,违法成本低到匪夷所思,国内是对资本最友好的存在了
|
 |
76
ltkun 2023-03-03 17:57:16 +08:00 via Android
刚刚试了鸿蒙能卸载
|
 |
77
xm0625 2023-03-03 18:02:38 +08:00 1
@ShadowPower MIUI 好像专项搞过安全计划,像这种反复被打穿的肯定是给提交者发奖金然后重构了估计。
目前感觉 MIUI 的手机管家是大流氓管小流氓的感觉,省电策略选:不允许后台,基本上是活不过来了。。。 |
 |
78
vialon17 2023-03-03 18:36:47 +08:00
pdd 可以使用 wechat 里面的小程序,我都不安装的。
|
 |
79
lixon166 2023-03-03 18:43:24 +08:00
不安全就安装 反诈 App
|
 |
80
ycr6708536 2023-03-03 19:21:53 +08:00
@cheese PDD 小程序也很快
|
 |
81
stcode 2023-03-03 19:28:54 +08:00
这些人真是无所不用其极,真是恶心
|
 |
82
Windrox 2023-03-03 22:40:24 +08:00 3
推荐各位拿家里老年人的手机见识一下拼多多的套路,用系统自带的权限管理全关都能实现后台弹窗等正常软件压根见不到;但在我自己的 Android 手机上权限给满等几个月都一直乖乖的不在后台(然后再拿百亿补贴数码产品给自己刷口碑,也真是佩服他家的运营团队
|
 |
83
cskeleton 2023-03-03 23:49:45 +08:00 5
@Windrox 百亿补贴的本质就是,拿钱去堵了那些有能力发声的一部分人的嘴。这些钱就从那些不能发声的人手中忽悠来的。
|
 |
84
levelworm 2023-03-04 00:11:22 +08:00 via Android
@vvhy 32
看了下这篇文章,感觉在中国做生意就得草台班子,就得野蛮发展,抢到位子就行了。反正这种管理模式在欧美估计是招不到什么人的,但是在国内就活得很好,所以还是得适应国情。 |
 |
86
ZhiyuanLin 2023-03-04 00:25:52 +08:00
鸿蒙这算是实现了对 Android 的 bug for bug compatibility 吧(狗头)。
华为工程师真是太厉害了,完美兼容! |
|
87
ZhiyuanLin 2023-03-04 00:27:19 +08:00
> 最近爆出的大漏洞,有个是安卓有鸿蒙没有的吧,就是那个无障碍还是啥绕过密码的那个。
@Ocean810975 #13 那个记得是 Android 12 以及以上的版本才会受影响的,如果你“兼容”的是 Android 11 就没事了。 |
 |
89
woyaojizhu8 2023-03-04 12:39:21 +08:00
大厂 APP 不都是这样的吗,这又算啥新闻
|
|
90
woyaojizhu8 2023-03-04 14:07:52 +08:00
@datou 为什么你觉得网游或者 im 只允许一个账号同时登录一个设备是可以理解的,而购物 APP 就不行?
|
|
91
woyaojizhu8 2023-03-04 14:12:30 +08:00 1
@systemcall 你是想说,拼多多能检测到你懂手机不好忽悠,而你家人是小白,所以只针对你家人?
|
|
92
woyaojizhu8 2023-03-04 14:13:47 +08:00
@happyabs #15 这样做意义不大吧,可能用不了多久就会提示版本过低,需要强制更新了?
|
|
93
woyaojizhu8 2023-03-04 14:33:10 +08:00
@Marionic0723 我感觉京东跟 pdd 很有可能是恶性竞争,现在京东服务大不如以前了,可能就是新的降本低价策略导致的。
|
|
94
woyaojizhu8 2023-03-04 14:37:41 +08:00
@zbinlin #47 可能写好的举报材料被它远控删除了吧
|
|
95
woyaojizhu8 2023-03-04 14:39:43 +08:00
@Windrox 拼多多是检测到了老年人是小白,而你是懂手机的人,所以采取了差异性的策略?
|
|
96
systemcall 2023-03-04 14:51:31 +08:00
@woyaojizhu8 #91
且不说本来拼多多就有的是办法通过各种实名信息知道你到底是谁、你的受教育程度、你的认知水平 你在 App 里面的交互、你手机的情况,也可以知道不少信息 比如如果你手机里面有 GMS ,稍微调用一下相关 API 就知道安装了,之后就可以避开你,因为知道你多半会排查出来它 比如你手机里面要是有一大堆垃圾软件,它就知道你不懂手机了 且不说检测应用列表本来就有的是办法,要知道是否安装了特定软件是很容易的,特别是那个软件主动配合的话 |
|
97
datou 2023-03-04 15:01:46 +08:00
@woyaojizhu8 因为其他的网购 APP ( taobao ,jd )基本都可以多终端同时登陆(抖音似乎有些限制)
|
 |
98
AhECbt 2023-03-04 15:34:16 +08:00 1
自从这个 APP 诞生,就压根没让它在手机上出现过。
|
 |
99
abc8678 2023-03-04 16:31:24 +08:00 via Android
在酷安听说过有个叫 hardcorder 的东西
|
|
100
Windrox 2023-03-04 16:34:36 +08:00
@woyaojizhu8 具体检测到了什么我不是相关专业不好说,我妈的手机上则是只有一部分广告
|
Select Language