研究机构披露拼多多利用漏洞，非法获取竞对信息，阻止用户卸载APP

近日，研究机构“DarkNavy”发文披露某国产APP恶意利用系统漏洞，非法提权获取用户隐私及争对手商业信息，远程遥控用户设备，并阻止用户卸载自身APP。据信该APP指的是“拼多多”。

文章中提到，该APP利用Android系统的Parcel序列化与反序列化不匹配漏洞，能够实现0Day/NDay攻击，绕过系统校验，获取系统级StartAnyWhere能力，提升自身权限。

提权控制手机系统之后，该APP随即进行了一系列的非法违规操作，绕过隐私监管规则，开始手机中的用户隐私信息，包裹WiFi信息、位置信息、社交媒账号资料、基站信息、路由器信息，甚至能够绕过系统为应用设置的沙箱规则，采集竞争对手软件的信息。

在此之外，该APP还会改写系统配置文件，实现为自己应用的保活，修改用户桌面设置隐藏自身icon，欺骗用户防止自身被卸载等。最后，该APP甚至能够通过覆盖动态码文件来劫持其他应用注入后门执行代码，实现更加隐蔽的后台长期保活，并利用“云控开关”远程遥控应用非法行为，让检测与监管无从下手。

有软件行业人士发现，解压拼多多APP之后就能够在asset中找到AliveBaseAbility提权代码。不过在该新闻发酵之后，拼多多在更新之后删除了这段代码。

许多拼多多用户在知乎平台反映，拼多多应用会通过漏洞将自己图标替换成widget（桌面小组件），删除或隐藏（通过变透明 、伪装成天气应用等）应用icon，以此逃避卸载，也有用户发现，在桌面长按icon触发的次级菜单中，拼多多能够删除系统级别的卸载按钮。

据悉，Android 13中已经修复了Pa0rcel机制漏洞，能够杜绝绝大部分此类黑客攻击。不过鸿蒙和未升级到Android 13的设备用户，仍然处于被该漏洞攻击的危险之中。

图片来源于网络

电科技（www.diankeji.com）是一家专注于全球TMT行业的领先资讯媒体。

作为今日头条青云计划、百家号百+计划获得者，2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者，曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。

投稿、商务合作请联络微信公众号

声明： 本站原创文章文字版权归电科技所有，转载务必注明作者和出处；本站转载文章仅仅代表原作者观点，不代表电科技立场，图文版权归原作者所有。如有侵权，请联系我们删除。