某红色图标软件(pdd)大肆利用Android漏洞做违法下作的勾当

若荼泱

https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

以下为本人随意排版的，稍微加粗了一些重点，更加观感请看原文。

tl;dr 最终，该互联网厂商通过上述一系列隐蔽的黑客技术手段，在其合法 App 的背后，达到了：

隐蔽安装，提升装机量
非法提升 DAU/MAU
用户无法卸载
攻击竞争对手 App
窃取用户隐私数据
逃避隐私合规监管
等各种违规违法目的。

目前，已有大量终端用户在多个社交平台上投诉反馈：该 App 存在莫名安装、泄漏隐私、无法卸载等问题。

本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第十篇。

认可白帽黑客价值、走进安全社区，打造安全团队，借助黑客视角提升自身安全能力，这已经成为了行业最佳安全实践之一。

但是，也有少数地下或隐蔽的公司通过招募黑客，用他们掌握的黑客技术寻找并利用漏洞，为自身牟取非法利益。

2022 年，竟有巨头公司打破底线，将白帽黑客作为武器，指向了用户。


2022 年，Google 的 Project Zero 发布了一个在野漏洞利用的分析，警告攻击者已经瞄准各手机厂商的 OEM 代码部分，挖掘出其中的脆弱点和漏洞，组合出了一套完整的提权攻击 Exploit。

Project Zero 分析的漏洞利用链包含四个部分，完全由三星代码中的漏洞组成。

第一步，攻击者利用了 漏洞 (CVE-2021-25337)，这是一个 system_server 中导出的 semclipboardprovider 所存在的任意文件读写，允许攻击者以 untrusted_app 身份读写 users_system_data_file，也就是一般 system_app 的私有数据文件。

第二步，攻击者参考了三星 TTS 漏洞研究成果，利用 TTS 中从自身配置文件加载任意动态链接库的能力，将第一个漏洞转化为了一个 system_app 提权漏洞。


在获取了 system_app 权限的代码执行能力后，攻击者执行最后两步，向内核进发：

首先，将三星设备中未更新的 Mali GPU 驱动内核信息泄露漏洞 (CVE-2021-25369) ，和三星自己的 kmsg 泄露“特性”组合利用，最终获得内存基址和 addr_limit 地址。

然后，使用 DECON driver 中的 UAF 漏洞 (CVE-2021-25370)， 结合堆风水，最终，利用 signalfd 系统调用修改 addr_limit，转化为内核任意地址读写，完成提权。

至此，一套完整的提权攻击 Exploit 全部完成（上述攻击所涉及漏洞目前已全部修复）。

三星 OEM 漏洞攻击是一个很典型的案例，可以看出，与 AOSP、上游 Kernel 的漏洞挖掘难度相比，手机厂商 OEM 代码部分的漏洞挖掘难度要低很多，且利用通常也相当稳定。

于是我们经常可以看到，各种间谍软件的作者会频繁利用手机 OEM 代码漏洞作恶。

但 2022 年，有知名互联网厂商竟持续挖掘新的安卓 OEM 相关漏洞，在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。

以下技术分析和截图，均来自此刻正发生在数以亿计手机上的真实案例。相关敏感信息已经过处理。

该互联网厂商在自家看似无害的 App 里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。



上图即是其漏洞利用链中的核心环节，利用了多个安卓手机厂商 OEM 代码中的反序列化漏洞，完成了第一步黑客攻击：提权。
完成了提权，该 App 事实上已经完成了反客为主，通过 App 控制了用户的整个手机系统。

Android Framework 中一个核心的对象传递机制是 Parcel，希望被通过 Parcel 传递的对象需要定义 readFromParcel 和 writeToParcel 接口函数，并实现 Parcelable 接口。
理论上来讲，匹配序列化和反序列化函数应当是自反等效的，但系统 ROM 的开发者在编程过程中可能会出现不匹配的情况，例如写入的时候使用了 writeLong，读取的时候却使用了 readInt。
这类问题在运行过程中一般不会引起注意，也不会导致崩溃或错误，但在攻击者精心布局下，却可最终利用 Settings 和 system_server 进程，将这个微小的错误转化为 StartAnyWhere 提权。
Android 近年来累计已修复上百个这类漏洞，并在 Android 13 中对 Parcel 机制做了改革，彻底杜绝了大部分此类攻击面。
但对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说，他们仍处于危险之中。

提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）：



之后，该 App 进一步使用的另一个黑客技术手段，是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；
进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；
随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；
甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。



这些行为不仅恶劣地拉低了行业底线，破坏了公平竞争，更严重侵犯了用户的隐私，违反了相关法律法规。

2021 年施行的《网络产品安全漏洞管理规定》第四条明确规定：“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。”
在《网络安全法》、《个人信息保护法》中，对于此类行为也有针对性规定，并明确了相关法律责任。
2 月 27 日，工信部发布了 26 条措施，聚焦 APP 安装卸载、服务体验、个人信息保护、诉求响应等，针对性地提出了改善措施；同时对 APP 开发运营者、分发平台、SDK（软件开发工具）、终端和接入企业细致地划分了责任。

在手机设备复杂的供应链中，发现漏洞、修复漏洞、防范漏洞本就不易。

若还有巨头在名气的遮掩下利用漏洞作恶，将白帽变成黑帽，更会让用户和行业受伤。

我们在此呼吁，

一，手机厂商需要更重视自研代码的安全，削减不必要的、可能被攻击者利用的攻击面；

二，监管机构需要针对此类行为进行更严厉的打击，根据现有法律法规严格执法、监管，严肃问责，以推进、构建一个更安全的数字环境。

个别公司的恶行不该连带整个行业背负骂名，更不该由用户承担后果。

白帽也应当回归守护安全的初心，让技术发挥应有的正向作用。

关联阅读：2月27日，工业和信息化部关于进一步提升移动互联网应用服务能力的通知发布。

(一)规范安装卸载行为
…………
3.实现便捷卸载。除基本功能软件外，APP应当可便捷卸载，不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
…………

OldGlory

pdd？

若荼泱

所以 pdd 谁都别吹，再便宜我都不会用的。阿里系吐槽堪比 3A 归吐槽，淘宝这种传统 app 好歹不涉及底线问题只是个优化，至少是个正常东西。这红色软件纯纯 spyware，iOS 怕是都管不住，iOS 也经常有洞，这红色软件随手就给你利用上了。

若荼泱

白帽子 发表于 2023-2-28 22:45
哪个？并夕夕？

我反正觉得一眼是。工信部这个通知也是，除了 pdd 我从来没听说过什么 app 用空白图标阻碍卸载的。听说之后我真是佩服这想象力到五体投地。

朔方原的星

罚款五十万了没

404489039

我用ios关我屁事

chaucerling

这真的无底线了

攻守俱其土肉狐

Buke

404489039 发表于 2023-3-1 00:09
我用ios关我屁事

我觉得真不好说，还是用完就直接划掉墓碑都不留比较好

论坛助手,iPhone

noarch

先看看，别到时候是别的

sqlist

pdd是吧，我认识的人里面有三个人在那里上班，碰巧都是网安出身，希望不是他们干的

yzj134100

有几率？试了下可以卸载啊

cmsufo

ra1n

草，刚看了下pdd，卸载的选项直接没了，只能进应用里卸载，以前还有的

—— 来自 OPPO PGJM10, Android 12上的 S1Next-鹅版 v2.5.4

oyss

惭愧了,我连PDD图标都没见过,看标题根本不知道在说谁....

monki

看了一下pdd的应用行为记录，每天0点准时自启动，其他自启动时间比较随机，其他app的自启动除了微信QQ系统应用之外，剩下的居然还有个快手

M1NG

之前看一些电商纠纷和数据隐私纠纷的案子，pdd的涉案数量那可真是独领**，就这德性我是不敢用。不过之前不还有栋楼一大堆人极力赞美pdd，把pdd当神么，说明用户确实是只用给点甜头就是爹，隐私信息？不重要的

霧亥

两个路人 发表于 2023-3-1 01:53
如果是拼夕夕，我很好奇股沟商店版的行为如何… 能不能反映出股沟商店的草台行为？ ...

play版留不住后台的

—— 来自 samsung SM-S9180, Android 13上的 S1Next-鹅版 v2.5.4

楪蘭楓

这玩意用完反手一个清楚数据，看储存占用应该没复活过 要不是为了跟商家交流，微信小程序足够用的。


—— 来自 samsung SM-G9910, Android 13上的 S1Next-鹅版 v2.5.4

泰坦失足

哪天等pdd出PC版了, 估计装完直接引导PDD OS了吧

rak1

LZ给的原文里，通篇没有说过“红色”，只说了某知名厂商，这个红色是哪里来的？

大神樱

嗨，原来不是学习强国啊

—— 来自 S1Fun

UNICORN00

这么恐怖？好奇到底是那个软件。。

linkin9999

404489039 发表于 2023-3-1 00:09
我用ios关我屁事

+1

psvsd

这玩意可是标准的破坏计算机信息系统罪
不过刑不上资本家嘛，只能拿来口袋点小虾米了

psvsd

这玩意可是标准的破坏计算机信息系统罪
不过刑不上资本家嘛，只能拿来口袋点小虾米了

猫不萌

竟然还有ios用户以为自己逃得过

平井姨夫

猫不萌 发表于 2023-3-1 09:06
竟然还有ios用户以为自己逃得过

起码目前针对pdd这个流氓比安卓强啊

novem

名字都不敢说，真怂

edenpenn

大裸奔时代早躺平了

The1ast

猫不萌 发表于 2023-3-1 09:06
竟然还有ios用户以为自己逃得过

好歹有app store兜着，发现乱搞直接下架，不给上相当于判死刑，退一步讲就算有0day漏洞厂商敢不敢用还是要掂量掂量的

DraQin

猫不萌 发表于 2023-3-1 09:06
竟然还有ios用户以为自己逃得过

至少PDD在我iPhone上的确还算老实
起码不会说像以前拿猴当主力机的时候明明没给任何多余权限也能不知道从哪蹦哒出PDD的弹窗出来

eva02eva02

别嘲笑安卓了，IOS已经实现了摇一摇广告的无限跳转

Xerxes_2

“鸿蒙和旧版本Android”

—— 来自 OnePlus GM1910, Android 13上的 S1Next-鹅版 v2.5.4