知名互联网厂商 APP 利用漏洞非法控制用户手机窃密：安卓/鸿蒙均受影响

盲猜小而美

⭕️DD

这不是公开的秘密嘛，

肯定不是微信，微信都是光明正大让手机厂商留后门的，他们开发了什么东西用来抢占系统资源，要求手机厂商适配，手机厂商为了微信不卡也愿意配合

十有八九是拼多多，禁止所有自启动，在进程管理杀掉它，过几个小时你会发现它又出现在进程里了

说到虚假卸载，我手机安装了几十个国内大厂的 APP ，只有拼多多是在右键菜单里添加虚假“卸载”菜单的，甚至还有个“移除”

怪不得 pdd 冷启动怎么那么快呢，原来他妈的一直利用系统漏洞在长期驻留后台

原文： https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

nb ，用我妈的 oppo 试了下，所有第三方的 app 长按图标都能显示卸载按键，只有 pdd 和自带软件一样，没有卸载按键

https://s2.xptou.com/2023/03/02/6400c6c1d7982.png
下载 pdd, jadx 看了下,还真是

感觉是有云控吧，我的拼多多就没这个问题，但是家里人的拼多多就有，还能自动播放视频，他们很喜欢

话说有老哥测试了这个洞吗？

挺好奇能不能读写 /data/system 。

如果能的话倒是可以利用起来干点正向的事情。

「安卓 /鸿蒙」鸿蒙还有必要单独列？……

说 linux 不就行了？反正都是 linux 套壳。

@Slurp 最近爆出的大漏洞，有个是安卓有鸿蒙没有的吧，就是那个无障碍还是啥绕过密码的那个。

连夜把几大毒瘤 APP 都装回两年前的旧版, 再把所有浏览器都升级到最新版 /doge


有需要的自取, 都是 play 版, 扫描过, 是原版, 要用啊妹你看的梯子
pdd:
https://apk.support/app/com.xunmeng.pinduoduo/download?v=NS4zNy4w&e=fefb569c35

zhihu:
https://apk.support/app/com.zhihu.android/download?v=Ny41LjA=&e=fff9509e

jd:
https://apk.support/app/com.jingdong.app.mall/download?v=OS4wLjg=&e=f3fb559b3c

meituan:
https://apk.support/app/com.sankuai.meituan/download?v=MTEuMTEuMjI5&e=faf9519c35441092f3ea

tb:
https://apk.support/app/com.taobao.taobao/download?v=OS4yMC4wLjEx&e=f8fa55

firefox:
https://apk.support/download-app/org.mozilla.firefox

edge:
https://apk.support/download-app/com.microsoft.emmx

难怪 pdd 只允许一个账号同时登录一个设备，我心说你又不是网游或者 IM

PDD 可以说是最没有底线的大厂了，甚至和一些流氓软件相比，都要更过份。

play 版受影响吗

用小程序够了，拼多多对微信还是很 Open 的

@Leon406 pdd 居然没加壳？

@xgfan #17 普通流氓软件没有足够的技术实力耍顶级的流氓，耍流氓也是有成本的

还是 ios 比较安全吧

说 pdd 就不奇怪了，京东马上要出百亿补贴了

@superares 狗咬狗也好，只要不是 3Q 大战那种恶性竞争就好，两边打起来对消费者可能还有利些，反正两个都不是好东西。

@happyabs 给 阿妹你看 的音译点赞！

原来是 PDD 一直没猜到

长期驻留后台好像说的哪个国产 app 不这样干一样。特别是阿里系

Android 的漏洞，竟然鸿蒙也有。
Android 抄鸿蒙实锤啊。
手动狗头

@zqlcrow 这是我没想到的角度

@Ocean810975 小米也没有

pdd 这么溜，还装它干嘛

我在看了《我在拼多多的三年》之后就决定再也不用拼多多了

@Slurp 反正套壳就对了

pdd 之前不是让他们的安全部门老大黑客攻击别人嘛。

之前 Flanker 因为拒绝做黑客攻击被 pdd 辞退，原来是这个，哈哈

miui 13 ，pdd 可以正常卸载，也不会自启动

从来没用过这个软件，也叮嘱家人不要用，平时只用🐶东、亚马逊+淘宝

@monkeyzsf 应该是安卓 13 之前会遇到

牛逼，丝滑

@Ocean810975 #14 PUK 漏洞国内就没看到哪个厂家有，毕竟国内就没谁家是原生 AOSP

惊了，所以 pdd 冷启动这么快，是因为偷偷常驻后台？

vivo origin os 拼多多卸载是正常的..

MIUI 表示进 pdd 应用设置里“强行停止”按钮是灰色的，根本没有后台运行。

楼主牛比

安卓 13 好像修复了，只影响没升级的

"美国竟如此惧怕一款 App"

怎么没人向国家机关举报呢？

@ttxhxz 哦哦，原来如此，我去找个老手机试试看

@ttxhxz 不对，我是 miui13 、Android 12 ，应该是我的系统更新到了最新 Android 补丁。

@xcodeghost pdd 安装包才 27 兆，抢占低价市场，专门给老年机优化，快点不是很正常？支付宝冷启动也很快，支付宝也一直后台驻留？什么逻辑，人家优化的好就活该被喷

总之一句话：能避开国产 APP 就避开。

没有诚信，和最起码的良心。

多多不奇怪，当年有多多员工表示被上级要求黑竞争对手的服务器，都是基操

@Leon406

只能说非常感谢了

只用 PDD 小程序

为什么自研 os 会受到安卓系统漏洞影响

当然是拼多多啊。。。。

@Ocean810975 我看到有人反馈 HM 特定版本也有这个

@oxromantic 猜错了，是并夕夕

@me404 是的，而且我以前下载，同意了隐私协议再卸载重新安装是要再重新确认隐私协议的，现在变成直接进去不需要重新同意，说明是伪卸载

你说的应该是拼多多吧，其实国内 app 都这样。
你是开发者，你也愿意这么搞。

@monkeyzsf 嗷，我是 miui14 。安卓 13 了。我一直还以为我是 miui13

@happyabs 难道你老妈老婆等等家人不用这些 app 吗？只要攻克 50%的用户就行了，意义不大

还是安卓好啊，

积分厂之前就爱用国内各家的 URL 跳转漏洞来营销，根本不在乎刑法第 285 和 286 条的，毕竟爱丁堡纳税大户

@AlexHsu 你自己想想看看？

如果想辩解的话，也可以 拼多多只做了 APK 格式安装包，没有为 Ho​moOS 定制 HPK 格式安装包，Ho​moOS 需要使用“安卓兼容层”运行安卓应用，所以受到安卓系统漏洞影响

赶紧升级 Android13

@Slurp 这叫政治正确，在国内谁敢忤逆华为？

@eason1874 这么强？

MIUI 12.5 ，Android 11 上的拼多多也可以通过桌面图标卸载，无后台……
莫非它和安卓的差异比鸿蒙还大？

@hellomynameis 这个角度可以啊😄

@ShadowPower 你没看原文.. 有云控..

谔谔，直到我在知乎上看到这个 https://www.zhihu.com/question/438844179

@hellomynameis hhhh ，HomoOS

卸载了

gov 监管隐身，违法成本低到匪夷所思，国内是对资本最友好的存在了

刚刚试了鸿蒙能卸载

@ShadowPower MIUI 好像专项搞过安全计划，像这种反复被打穿的肯定是给提交者发奖金然后重构了估计。
目前感觉 MIUI 的手机管家是大流氓管小流氓的感觉，省电策略选：不允许后台，基本上是活不过来了。。。

pdd 可以使用 wechat 里面的小程序，我都不安装的。

不安全就安装 反诈 App

@cheese PDD 小程序也很快

这些人真是无所不用其极，真是恶心

推荐各位拿家里老年人的手机见识一下拼多多的套路，用系统自带的权限管理全关都能实现后台弹窗等正常软件压根见不到；但在我自己的 Android 手机上权限给满等几个月都一直乖乖的不在后台（然后再拿百亿补贴数码产品给自己刷口碑，也真是佩服他家的运营团队

@Windrox 百亿补贴的本质就是，拿钱去堵了那些有能力发声的一部分人的嘴。这些钱就从那些不能发声的人手中忽悠来的。

@vvhy 32
看了下这篇文章，感觉在中国做生意就得草台班子，就得野蛮发展，抢到位子就行了。反正这种管理模式在欧美估计是招不到什么人的，但是在国内就活得很好，所以还是得适应国情。

@Chad0000 51
比较悲催的是缺乏监管

鸿蒙这算是实现了对 Android 的 bug for bug compatibility 吧（狗头）。
华为工程师真是太厉害了，完美兼容！

> 最近爆出的大漏洞，有个是安卓有鸿蒙没有的吧，就是那个无障碍还是啥绕过密码的那个。
@Ocean810975 #13 那个记得是 Android 12 以及以上的版本才会受影响的，如果你“兼容”的是 Android 11 就没事了。

@cskeleton 它们的用户画像应该有应用到这方面

大厂 APP 不都是这样的吗，这又算啥新闻

@datou 为什么你觉得网游或者 im 只允许一个账号同时登录一个设备是可以理解的，而购物 APP 就不行？

@systemcall 你是想说，拼多多能检测到你懂手机不好忽悠，而你家人是小白，所以只针对你家人？

@happyabs #15 这样做意义不大吧，可能用不了多久就会提示版本过低，需要强制更新了？

@Marionic0723 我感觉京东跟 pdd 很有可能是恶性竞争，现在京东服务大不如以前了，可能就是新的降本低价策略导致的。

@zbinlin #47 可能写好的举报材料被它远控删除了吧

@Windrox 拼多多是检测到了老年人是小白，而你是懂手机的人，所以采取了差异性的策略？

@woyaojizhu8 #91
且不说本来拼多多就有的是办法通过各种实名信息知道你到底是谁、你的受教育程度、你的认知水平
你在 App 里面的交互、你手机的情况，也可以知道不少信息
比如如果你手机里面有 GMS ，稍微调用一下相关 API 就知道安装了，之后就可以避开你，因为知道你多半会排查出来它
比如你手机里面要是有一大堆垃圾软件，它就知道你不懂手机了
且不说检测应用列表本来就有的是办法，要知道是否安装了特定软件是很容易的，特别是那个软件主动配合的话

@woyaojizhu8 因为其他的网购 APP （ taobao ，jd ）基本都可以多终端同时登陆（抖音似乎有些限制）

自从这个 APP 诞生，就压根没让它在手机上出现过。

在酷安听说过有个叫 hardcorder 的东西

@woyaojizhu8 具体检测到了什么我不是相关专业不好说，我妈的手机上则是只有一部分广告