今天回家在🐱巷看到并夕夕涉嫌窃取用户隐私，应该也不是一天两天了

技术版：https://github.com/davincifans101/pinduoduo_backdoor_detailed_report

普通人友好版：https://zhuanlan.zhihu.com/p/617661783

Lookout 确认拼多多的非 Play 版本包含恶意代码

2023-03-27 21:35:00 by 星火

本月早些时候，独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明，表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在，安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示，至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本，都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码，通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。

https://arstechnica.com/?p=1926914

#安全

#科技资讯 #安全资讯 卡巴斯基实验室调查后确认并夕夕利用Android漏洞破坏用户隐私和数据安全。

全文链接：https://ourl.co/98025

卡巴斯基日前向彭博分享了调查结果：

并夕夕某些版本存在恶意代码，这些恶意代码利用已知的 Android 漏洞提升权限、下载和执行其他模块，其中一些模块还获得了访问用户通知 (即其他应用弹出的通知，包括但不限于常规 APP 和系统 APP) 和文件访问权限。

这些调查都佐证了深蓝洞察发布的报告，确认并夕夕存在恶意行为，目前并夕夕依然嘴硬不承认问题还在到处投诉删帖。

“这些⾮法⾏为，直⾄被曝光的时间，都在给其业务带来⽕箭般助⼒，正如其代码中所述：PddRocket.”——后台分析pdf文档

因为我专业不是网安而且我也不会Android,所以粗略看了下，确实吓人，还好之前并夕夕装的是沙箱机，可惜我奶奶的手机遭殃了。因为奶奶的手机是OPPO，系统自带并夕夕，删也删不掉。

刚发现并夕夕的时候是18年我们家人群里面一群人发砍价0元拿礼物，e.g. 烤箱 etc. 但是我们家人群里都砍了，却没有一个人吃到螃蟹，这就是所谓的推广吧。

19年的时候因为某宝太贵，不敢买，去并夕夕看同价商品，发现这么便宜，怕买到假货，遂作罢。

我的父母21年沉迷于并夕夕提现，但是就差0.03元了，可惜扫了10个人还是差0.001元，如果继续的话可以拿到100，父母最后还是没有拿到，他们找我来扫，我拒绝了。

之前想去买个硬盘，某宝某京嫌太贵了，然后“计算机大神”给我推荐了并夕夕百亿补贴，但是我看那价格，怕不是正货源。

拼多多啊，你不用干嘛，不用就是吃亏。你吃亏好了，你不用还有几亿人在用。这么便宜的羊毛你都不薅，你还敢说你精明？百亿补贴货源肯定正啊，不正又不是不能退货退款。
——宁波外国语学校某“计算机大神”

我也不好和他说些什么，毕竟温水煮青蛙，煮舒服了自己的隐私可以都不要了。

看到最近爆出的东西，懂了，原来是 在未获得用户的许可下 用用户隐私换取利益并且两两分成了，再加上大量的广告来吸引用户，也是老一套。

这种行为在国产软件里面不是一次两次了，大家习惯就好。

哦，还有，并夕夕涉嫌压榨程序员劳动力&逼迫白帽黑客Flanker进行黑客攻击：

https://www.zhihu.com/question/437831083

https://www.zhihu.com/question/438854645

https://mp.weixin.qq.com/s/1f-XpG9IDoNLXQmVSXO1Lw

这种公司就是想钱想疯了，就像马克思所说：

如果有10%的利润，资本就会保证到处被使用；有20%的利润，资本就能活跃起来；有50%的利润，资本就会铤而走险；为了100%的利润，资本就敢践踏一切人间法律；有300%以上的利润，资本就敢犯任何罪行，甚至去冒绞首的危险。 ——马克思《资本论》

外传：并夕夕与腾讯和臭名昭著的PHICOMM(我们家甚至还是装宽带送的，现在换成了刷OpenWRT的Mi Router 3)合作进行推广，详情：https://www.sojson.com/blog/311.html

其他并夕夕干的坏事在这里就不一一阐述了。

所以珍惜程序员生命，抵制拼多多从你我做起！

并夕夕的替代品：淘宝 (啥都有)，但是广告至少比并夕夕少且天猫旗舰店是正版货源；京东，自营店100%正版，东西有点贵，但是物流快。

安卓用户建议切换苹果，至少软件安装安全性有保障，Apple不会放弃中国市场的，毕竟现在Apple生产线在郑州富士康。如果有能力上Play Store的建议上Play Store

现在这些公司(指互联网大厂)在我心目中的地位：

Apple > 小米 > 华为 > Google > Microsoft > 阿里巴巴 > OPPO/VIVO > 腾讯 > 百度 > 拼多多

以后我的就业倾向也是一样的。

也许后续可能会自己开一家公司。