V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fairytale
V2EX  ›  Android

知名互联网厂商 APP 利用漏洞非法控制用户手机窃密:安卓/鸿蒙均受影响

  fairytale · 2023-03-02 20:22:14 +08:00 via Android · 30142 次点击
这是一个创建于 630 天前的主题,其中的信息可能已经有所发展或是发生改变。
该互联网厂商使用了多种黑客手段,实现对用户手机的提权、隐私信息收集、应用防卸载、应用长期驻留后台等违法违规行为;

研究员警告,这些是此刻正发生在数以亿计手机上的真实案例,且对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说,他们仍处于危险之中。

有知名互联网厂商持续挖掘新的安卓 OEM 系统相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞。

。。。。。。


这是哪个大厂?
111 条回复    2023-04-20 10:18:07 +08:00
1  2  
oxromantic
    1
oxromantic  
   2023-03-02 20:26:02 +08:00   ❤️ 1
盲猜小而美
dfly0603
    2
dfly0603  
   2023-03-02 20:28:53 +08:00   ❤️ 7
⭕️DD
madNeal
    3
madNeal  
   2023-03-02 20:31:30 +08:00
这不是公开的秘密嘛,
eason1874
    4
eason1874  
   2023-03-02 20:31:39 +08:00   ❤️ 7
肯定不是微信,微信都是光明正大让手机厂商留后门的,他们开发了什么东西用来抢占系统资源,要求手机厂商适配,手机厂商为了微信不卡也愿意配合

十有八九是拼多多,禁止所有自启动,在进程管理杀掉它,过几个小时你会发现它又出现在进程里了
eason1874
    5
eason1874  
   2023-03-02 20:35:29 +08:00
说到虚假卸载,我手机安装了几十个国内大厂的 APP ,只有拼多多是在右键菜单里添加虚假“卸载”菜单的,甚至还有个“移除”
xcodeghost
    6
xcodeghost  
   2023-03-02 21:52:57 +08:00   ❤️ 2
怪不得 pdd 冷启动怎么那么快呢,原来他妈的一直利用系统漏洞在长期驻留后台
learningman
    7
learningman  
   2023-03-02 21:59:00 +08:00   ❤️ 2
me404
    8
me404  
   2023-03-02 22:03:12 +08:00 via iPhone   ❤️ 1
nb ,用我妈的 oppo 试了下,所有第三方的 app 长按图标都能显示卸载按键,只有 pdd 和自带软件一样,没有卸载按键
Leon406
    9
Leon406  
   2023-03-02 23:56:03 +08:00   ❤️ 23
https://s2.xptou.com/2023/03/02/6400c6c1d7982.png
下载 pdd, jadx 看了下,还真是
systemcall
    10
systemcall  
   2023-03-03 00:14:02 +08:00 via Android
感觉是有云控吧,我的拼多多就没这个问题,但是家里人的拼多多就有,还能自动播放视频,他们很喜欢
flyqie
    11
flyqie  
   2023-03-03 00:41:15 +08:00 via Android
话说有老哥测试了这个洞吗?

挺好奇能不能读写 /data/system 。

如果能的话倒是可以利用起来干点正向的事情。
Slurp
    12
Slurp  
   2023-03-03 00:45:12 +08:00   ❤️ 11
「安卓 /鸿蒙」鸿蒙还有必要单独列?……
fengleiyidao
    13
fengleiyidao  
   2023-03-03 00:54:07 +08:00   ❤️ 1
说 linux 不就行了?反正都是 linux 套壳。
Ocean810975
    14
Ocean810975  
   2023-03-03 01:04:43 +08:00 via Android
@Slurp 最近爆出的大漏洞,有个是安卓有鸿蒙没有的吧,就是那个无障碍还是啥绕过密码的那个。
happyabs
    15
happyabs  
   2023-03-03 01:26:26 +08:00   ❤️ 5
连夜把几大毒瘤 APP 都装回两年前的旧版, 再把所有浏览器都升级到最新版 /doge


有需要的自取, 都是 play 版, 扫描过, 是原版, 要用啊妹你看的梯子
pdd:
https://apk.support/app/com.xunmeng.pinduoduo/download?v=NS4zNy4w&e=fefb569c35

zhihu:
https://apk.support/app/com.zhihu.android/download?v=Ny41LjA=&e=fff9509e

jd:
https://apk.support/app/com.jingdong.app.mall/download?v=OS4wLjg=&e=f3fb559b3c

meituan:
https://apk.support/app/com.sankuai.meituan/download?v=MTEuMTEuMjI5&e=faf9519c35441092f3ea

tb:
https://apk.support/app/com.taobao.taobao/download?v=OS4yMC4wLjEx&e=f8fa55

firefox:
https://apk.support/download-app/org.mozilla.firefox

edge:
https://apk.support/download-app/com.microsoft.emmx
datou
    16
datou  
   2023-03-03 01:45:34 +08:00
难怪 pdd 只允许一个账号同时登录一个设备,我心说你又不是网游或者 IM
6IbA2bj5ip3tK49j
    17
6IbA2bj5ip3tK49j  
   2023-03-03 02:03:23 +08:00   ❤️ 1
PDD 可以说是最没有底线的大厂了,甚至和一些流氓软件相比,都要更过份。
Thymolblue
    18
Thymolblue  
   2023-03-03 07:53:47 +08:00 via Android   ❤️ 1
play 版受影响吗
docx
    19
docx  
   2023-03-03 08:10:52 +08:00 via iPhone
用小程序够了,拼多多对微信还是很 Open 的
hhjswf
    20
hhjswf  
   2023-03-03 08:18:24 +08:00 via Android
@Leon406 pdd 居然没加壳?
shakoon
    21
shakoon  
   2023-03-03 08:33:06 +08:00
@xgfan #17 普通流氓软件没有足够的技术实力耍顶级的流氓,耍流氓也是有成本的
h4dWDy259W6zw3Z4
    22
h4dWDy259W6zw3Z4  
   2023-03-03 08:37:41 +08:00 via iPad
还是 ios 比较安全吧
superares
    23
superares  
   2023-03-03 08:45:59 +08:00 via iPhone
说 pdd 就不奇怪了,京东马上要出百亿补贴了
Marionic0723
    24
Marionic0723  
   2023-03-03 09:01:16 +08:00
@superares 狗咬狗也好,只要不是 3Q 大战那种恶性竞争就好,两边打起来对消费者可能还有利些,反正两个都不是好东西。
MiniUniverse
    25
MiniUniverse  
   2023-03-03 09:11:05 +08:00 via Android
@happyabs 给 阿妹你看 的音译点赞!
bl4ckoooooH4t
    26
bl4ckoooooH4t  
   2023-03-03 09:13:59 +08:00
原来是 PDD 一直没猜到
mscsky
    27
mscsky  
   2023-03-03 09:27:07 +08:00
长期驻留后台好像说的哪个国产 app 不这样干一样。特别是阿里系
zqlcrow
    28
zqlcrow  
   2023-03-03 09:28:03 +08:00   ❤️ 17
Android 的漏洞,竟然鸿蒙也有。
Android 抄鸿蒙实锤啊。
手动狗头
manshisan
    29
manshisan  
   2023-03-03 09:38:05 +08:00
@zqlcrow 这是我没想到的角度
RiverMud
    30
RiverMud  
   2023-03-03 09:40:24 +08:00
@Ocean810975 小米也没有
msclelo
    31
msclelo  
   2023-03-03 09:41:06 +08:00 via iPhone
pdd 这么溜,还装它干嘛
vvhy
    32
vvhy  
   2023-03-03 09:46:45 +08:00
我在看了《我在拼多多的三年》之后就决定再也不用拼多多了
jamosLi
    33
jamosLi  
   2023-03-03 09:46:57 +08:00
@Slurp 反正套壳就对了
gaochuax
    34
gaochuax  
   2023-03-03 09:50:59 +08:00
pdd 之前不是让他们的安全部门老大黑客攻击别人嘛。
vvhy
    35
vvhy  
   2023-03-03 09:54:23 +08:00   ❤️ 5
之前 Flanker 因为拒绝做黑客攻击被 pdd 辞退,原来是这个,哈哈
monkeyzsf
    36
monkeyzsf  
   2023-03-03 10:05:38 +08:00   ❤️ 1
miui 13 ,pdd 可以正常卸载,也不会自启动
Crump
    37
Crump  
   2023-03-03 10:10:42 +08:00
从来没用过这个软件,也叮嘱家人不要用,平时只用🐶东、亚马逊+淘宝
ttxhxz
    38
ttxhxz  
   2023-03-03 10:13:36 +08:00
@monkeyzsf 应该是安卓 13 之前会遇到
hankli
    39
hankli  
   2023-03-03 10:21:16 +08:00
牛逼,丝滑
zhongjun96
    40
zhongjun96  
   2023-03-03 10:22:00 +08:00
@Ocean810975 #14 PUK 漏洞国内就没看到哪个厂家有,毕竟国内就没谁家是原生 AOSP
cheese
    41
cheese  
   2023-03-03 10:30:42 +08:00
惊了,所以 pdd 冷启动这么快,是因为偷偷常驻后台?
a4854857
    42
a4854857  
   2023-03-03 10:31:07 +08:00
vivo origin os 拼多多卸载是正常的..
cheng6563
    43
cheng6563  
   2023-03-03 10:38:54 +08:00
MIUI 表示进 pdd 应用设置里“强行停止”按钮是灰色的,根本没有后台运行。
hellofuxk
    44
hellofuxk  
   2023-03-03 10:39:55 +08:00
楼主牛比
cc666
    45
cc666  
   2023-03-03 10:53:47 +08:00
安卓 13 好像修复了,只影响没升级的
wwwe
    46
wwwe  
   2023-03-03 10:58:32 +08:00   ❤️ 16
"美国竟如此惧怕一款 App"
zbinlin
    47
zbinlin  
   2023-03-03 11:26:42 +08:00
怎么没人向国家机关举报呢?
monkeyzsf
    48
monkeyzsf  
   2023-03-03 11:35:07 +08:00
@ttxhxz 哦哦,原来如此,我去找个老手机试试看
monkeyzsf
    49
monkeyzsf  
   2023-03-03 11:36:28 +08:00
@ttxhxz 不对,我是 miui13 、Android 12 ,应该是我的系统更新到了最新 Android 补丁。
sprite82
    50
sprite82  
   2023-03-03 11:42:51 +08:00
@xcodeghost pdd 安装包才 27 兆,抢占低价市场,专门给老年机优化,快点不是很正常?支付宝冷启动也很快,支付宝也一直后台驻留?什么逻辑,人家优化的好就活该被喷
Chad0000
    51
Chad0000  
   2023-03-03 11:57:39 +08:00   ❤️ 6
总之一句话:能避开国产 APP 就避开。

没有诚信,和最起码的良心。
sparkpark
    52
sparkpark  
   2023-03-03 12:25:58 +08:00
多多不奇怪,当年有多多员工表示被上级要求黑竞争对手的服务器,都是基操
showgood163
    53
showgood163  
   2023-03-03 13:12:26 +08:00
@Leon406

只能说非常感谢了
LZSZ
    54
LZSZ  
   2023-03-03 13:16:13 +08:00
只用 PDD 小程序
AlexHsu
    55
AlexHsu  
   2023-03-03 13:22:24 +08:00   ❤️ 7
为什么自研 os 会受到安卓系统漏洞影响
love2075904
    56
love2075904  
   2023-03-03 13:28:26 +08:00
当然是拼多多啊。。。。
Fuhuang
    57
Fuhuang  
   2023-03-03 14:13:21 +08:00
@Ocean810975 我看到有人反馈 HM 特定版本也有这个
LuciferGo
    58
LuciferGo  
   2023-03-03 14:22:00 +08:00 via iPhone
@oxromantic 猜错了,是并夕夕
LuciferGo
    59
LuciferGo  
   2023-03-03 14:24:11 +08:00 via iPhone
@me404 是的,而且我以前下载,同意了隐私协议再卸载重新安装是要再重新确认隐私协议的,现在变成直接进去不需要重新同意,说明是伪卸载
tunggt
    60
tunggt  
   2023-03-03 14:41:46 +08:00 via Android
你说的应该是拼多多吧,其实国内 app 都这样。
你是开发者,你也愿意这么搞。
ttxhxz
    61
ttxhxz  
   2023-03-03 14:44:54 +08:00
@monkeyzsf 嗷,我是 miui14 。安卓 13 了。我一直还以为我是 miui13
revalue
    62
revalue  
   2023-03-03 15:07:51 +08:00
@happyabs 难道你老妈老婆等等家人不用这些 app 吗?只要攻克 50%的用户就行了,意义不大
ShakuganShana
    63
ShakuganShana  
   2023-03-03 15:12:17 +08:00
还是安卓好啊,
fdrag0n
    64
fdrag0n  
   2023-03-03 15:37:33 +08:00   ❤️ 1
积分厂之前就爱用国内各家的 URL 跳转漏洞来营销,根本不在乎刑法第 285 和 286 条的,毕竟爱丁堡纳税大户
hellomynameis
    65
hellomynameis  
   2023-03-03 15:48:45 +08:00
@AlexHsu 你自己想想看看?

如果想辩解的话,也可以 拼多多只做了 APK 格式安装包,没有为 Ho​moOS 定制 HPK 格式安装包,Ho​moOS 需要使用“安卓兼容层”运行安卓应用,所以受到安卓系统漏洞影响
psklf
    66
psklf  
   2023-03-03 16:04:46 +08:00
赶紧升级 Android13
chonger
    67
chonger  
   2023-03-03 16:14:56 +08:00   ❤️ 1
@Slurp 这叫政治正确,在国内谁敢忤逆华为?
WebKit
    68
WebKit  
   2023-03-03 16:26:24 +08:00 via Android
@eason1874 这么强?
ShadowPower
    69
ShadowPower  
   2023-03-03 16:33:02 +08:00
MIUI 12.5 ,Android 11 上的拼多多也可以通过桌面图标卸载,无后台……
莫非它和安卓的差异比鸿蒙还大?
AlexHsu
    70
AlexHsu  
   2023-03-03 16:50:14 +08:00
@hellomynameis 这个角度可以啊😄
youxiachai
    71
youxiachai  
   2023-03-03 17:06:00 +08:00
@ShadowPower 你没看原文.. 有云控..
slack
    72
slack  
   2023-03-03 17:13:44 +08:00
谔谔,直到我在知乎上看到这个 https://www.zhihu.com/question/438844179
YAOMFFL
    73
YAOMFFL  
   2023-03-03 17:16:30 +08:00
@hellomynameis hhhh ,HomoOS
xyjincan
    74
xyjincan  
   2023-03-03 17:19:04 +08:00
卸载了
aogu555
    75
aogu555  
   2023-03-03 17:29:59 +08:00   ❤️ 1
gov 监管隐身,违法成本低到匪夷所思,国内是对资本最友好的存在了
ltkun
    76
ltkun  
   2023-03-03 17:57:16 +08:00 via Android
刚刚试了鸿蒙能卸载
xm0625
    77
xm0625  
   2023-03-03 18:02:38 +08:00   ❤️ 1
@ShadowPower MIUI 好像专项搞过安全计划,像这种反复被打穿的肯定是给提交者发奖金然后重构了估计。
目前感觉 MIUI 的手机管家是大流氓管小流氓的感觉,省电策略选:不允许后台,基本上是活不过来了。。。
vialon17
    78
vialon17  
   2023-03-03 18:36:47 +08:00
pdd 可以使用 wechat 里面的小程序,我都不安装的。
lixon166
    79
lixon166  
   2023-03-03 18:43:24 +08:00
不安全就安装 反诈 App
ycr6708536
    80
ycr6708536  
   2023-03-03 19:21:53 +08:00
@cheese PDD 小程序也很快
stcode
    81
stcode  
   2023-03-03 19:28:54 +08:00
这些人真是无所不用其极,真是恶心
Windrox
    82
Windrox  
   2023-03-03 22:40:24 +08:00   ❤️ 3
推荐各位拿家里老年人的手机见识一下拼多多的套路,用系统自带的权限管理全关都能实现后台弹窗等正常软件压根见不到;但在我自己的 Android 手机上权限给满等几个月都一直乖乖的不在后台(然后再拿百亿补贴数码产品给自己刷口碑,也真是佩服他家的运营团队
cskeleton
    83
cskeleton  
   2023-03-03 23:49:45 +08:00   ❤️ 5
@Windrox 百亿补贴的本质就是,拿钱去堵了那些有能力发声的一部分人的嘴。这些钱就从那些不能发声的人手中忽悠来的。
levelworm
    84
levelworm  
   2023-03-04 00:11:22 +08:00 via Android
@vvhy 32
看了下这篇文章,感觉在中国做生意就得草台班子,就得野蛮发展,抢到位子就行了。反正这种管理模式在欧美估计是招不到什么人的,但是在国内就活得很好,所以还是得适应国情。
levelworm
    85
levelworm  
   2023-03-04 00:12:30 +08:00 via Android
@Chad0000 51
比较悲催的是缺乏监管
ZhiyuanLin
    86
ZhiyuanLin  
   2023-03-04 00:25:52 +08:00
鸿蒙这算是实现了对 Android 的 bug for bug compatibility 吧(狗头)。
华为工程师真是太厉害了,完美兼容!
ZhiyuanLin
    87
ZhiyuanLin  
   2023-03-04 00:27:19 +08:00
> 最近爆出的大漏洞,有个是安卓有鸿蒙没有的吧,就是那个无障碍还是啥绕过密码的那个。
@Ocean810975 #13 那个记得是 Android 12 以及以上的版本才会受影响的,如果你“兼容”的是 Android 11 就没事了。
zbinlin
    88
zbinlin  
   2023-03-04 11:23:24 +08:00
@cskeleton 它们的用户画像应该有应用到这方面
woyaojizhu8
    89
woyaojizhu8  
   2023-03-04 12:39:21 +08:00
大厂 APP 不都是这样的吗,这又算啥新闻
woyaojizhu8
    90
woyaojizhu8  
   2023-03-04 14:07:52 +08:00
@datou 为什么你觉得网游或者 im 只允许一个账号同时登录一个设备是可以理解的,而购物 APP 就不行?
woyaojizhu8
    91
woyaojizhu8  
   2023-03-04 14:12:30 +08:00   ❤️ 1
@systemcall 你是想说,拼多多能检测到你懂手机不好忽悠,而你家人是小白,所以只针对你家人?
woyaojizhu8
    92
woyaojizhu8  
   2023-03-04 14:13:47 +08:00
@happyabs #15 这样做意义不大吧,可能用不了多久就会提示版本过低,需要强制更新了?
woyaojizhu8
    93
woyaojizhu8  
   2023-03-04 14:33:10 +08:00
@Marionic0723 我感觉京东跟 pdd 很有可能是恶性竞争,现在京东服务大不如以前了,可能就是新的降本低价策略导致的。
woyaojizhu8
    94
woyaojizhu8  
   2023-03-04 14:37:41 +08:00
@zbinlin #47 可能写好的举报材料被它远控删除了吧
woyaojizhu8
    95
woyaojizhu8  
   2023-03-04 14:39:43 +08:00
@Windrox 拼多多是检测到了老年人是小白,而你是懂手机的人,所以采取了差异性的策略?
systemcall
    96
systemcall  
   2023-03-04 14:51:31 +08:00
@woyaojizhu8 #91
且不说本来拼多多就有的是办法通过各种实名信息知道你到底是谁、你的受教育程度、你的认知水平
你在 App 里面的交互、你手机的情况,也可以知道不少信息
比如如果你手机里面有 GMS ,稍微调用一下相关 API 就知道安装了,之后就可以避开你,因为知道你多半会排查出来它
比如你手机里面要是有一大堆垃圾软件,它就知道你不懂手机了
且不说检测应用列表本来就有的是办法,要知道是否安装了特定软件是很容易的,特别是那个软件主动配合的话
datou
    97
datou  
   2023-03-04 15:01:46 +08:00
@woyaojizhu8 因为其他的网购 APP ( taobao ,jd )基本都可以多终端同时登陆(抖音似乎有些限制)
AhECbt
    98
AhECbt  
   2023-03-04 15:34:16 +08:00   ❤️ 1
自从这个 APP 诞生,就压根没让它在手机上出现过。
abc8678
    99
abc8678  
   2023-03-04 16:31:24 +08:00 via Android
在酷安听说过有个叫 hardcorder 的东西
Windrox
    100
Windrox  
   2023-03-04 16:34:36 +08:00
@woyaojizhu8 具体检测到了什么我不是相关专业不好说,我妈的手机上则是只有一部分广告
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1683 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 16:49 · PVG 00:49 · LAX 08:49 · JFK 11:49
Developed with CodeLauncher
♥ Do have faith in what you're doing.