CNN 发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。邀请来自多国的技术专家检验了拼多多 2 月份发布的 6.49 版本的安装包,其中 3 家机构详细检验了拼多多的代码,在调查中发现拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。
拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为 http://com.google.android 的文件夹中发现了拼多多的代码。在发现的总计约 50 个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商 OEM 系统漏洞的,包括三星、华为、小米、Oppo 等。 拼多多在 3 月 5 日发布的 6.50 版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。
采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自 2020 年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。 在 6.50 版本发布后的两天,也就是 3 月 7 日,原本专门负责针对这些漏洞进行开发的 100 人左右的团队被突然解散 。
这些产品经理和程序员发现自己无法登陆内部通讯软件 Knock ,他们访问内部数据和文件的权限也被撤销。 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu ,但是有约 20 位针对安卓漏洞的核心开发人员仍然还留在拼多多。
不愧是拼多多,能在实锤还坦然自若,还能让国内媒体全部装死。
1
Select Language