某红色图标软件(pdd)大肆利用Android漏洞做违法下作的勾当

Buke

人家都内核提权想看啥看啥了，还在关注卸载会不会装回来只能说naive

猫不萌

黑夜守望者 发表于 2023-3-4 18:14
我帮你们实验一下，pdd没在我这儿流氓过（要我说最流氓的是lga那个客户端，忍无可忍删了），刚刚也成功卸载 ...

云控的，不用试了，而且最新版都把相关的控件移除了

华蝶风雪

看了眼家里人的，解锁时pdd会被启动，miui中记录是从桌面图标启动的
卸了换新版后上述行为没了，不过还是挺多自启被拦的记录

calmer

内核提权说的是三星。有这么好用的内核漏洞怎么可能用在这里

—— 来自 Google Pixel 6 Pro, Android 13上的 S1Next-鹅版 v2.5.2-play

萌臀

草这个帖子在破除区首页飘了好几天，我一直以为真的是学习强国就没在乎，微博和外野看到人讨论了跳过来才发现竟然是砍刀刀，太出息了

⑨个饼干

iOS只是相对安全而已，真要利用系统漏洞你还是拦不住的，不然越狱是怎么实现的
永远不要相信这群人的底线

qianoooo

接触过互联网APP合规性检查的 基本就是按照工信部的要求的一项项检查的 而且不少大APP下架原因（知乎这种的）也是因为这个合规性检查

起名困难症

Buke 发表于 2023-3-4 18:26
人家都内核提权想看啥看啥了，还在关注卸载会不会装回来只能说naive

所以说有什么办法检测么

若荼泱

⑨个饼干 发表于 2023-3-4 20:50
iOS只是相对安全而已，真要利用系统漏洞你还是拦不住的，不然越狱是怎么实现的
永远不要相信这群人 ...

我也是这个观点。都到这个地步了。现在被人曝光之后看起来收手了，但还是希望能被铁拳砸一下。

我王

小米13没事，还留在安卓11的ace把这狗屎当作系统软件了，一定要点进应用信息里面才能卸载

热风疾风

七草真由美 发表于 2023-3-1 19:04
怎么看自启动次数，一加手机没有。

是colorOS13吗？
应用-自启动-拦截记录

七草真由美

热风疾风 发表于 2023-3-5 10:39
是colorOS13吗？
应用-自启动-拦截记录

不是，是氢os，安卓10。

云隐

我就遇到过卸载以后pdd还是继续在通知栏的，忘记当时怎么彻底卸载的，反正现在用也是用小程序版

—— 来自 Xiaomi M2007J3SC, Android 10上的 S1Next-鹅版 v2.5.4

chaucerling

小程序0day也不少

爱尔米娜

妈的，我的倒是顺利卸载了，好像是在联想商店下的，以后软件都去play市场找，太哈人了

yuiuuu

难道不是很正常吗，pdd啥玩意我觉得都应该清楚，进app和进病毒软件一样

—— 来自 OnePlus KB2000, Android 11上的 S1Next-鹅版 v2.5.2-play

灼眼艾莉亚

x多多在多年前让某个大佬挖Android的0day，这个大佬不肯挖便从x多多离职，原来0day用在了非法获取用户信息上

x多多在最新版本并未删除相关后门代码，而是将其混淆

灼眼艾莉亚

https://github.com/davinci1010/pinduoduo_backdoor

参考「 深蓝洞察 」的文章：https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw （Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力）

复现流程如下：
下载3月5日前更新的（6.50版本前）的拼多多apk，如6.49版本：
https://com-xunmeng-pinduoduo.en ... d/download/91472728

解压apk文件，找到拼多多apk中，提权代码所在的文件位置：
pinduoduo-6-49-0.zip\assets\component\com.xunmeng.pinduoduo.AliveBaseAbility.7z\com.xunmeng.pinduoduo.AliveBaseAbility\vmp_src\mw1.bin

以上是一个加VMP壳的dex文件，脱壳还原出代码，可以找到针对不同手机厂商系统的多个用于提权的漏洞利用代码，胆子相当的大，比如利用三星手机“com.samsung.android.cepproxyks.CertByte”的提权漏洞，代码如下：

提权后，就开始瞎搞了，动态下发dex，开始给自己保活，防卸载，然后搞数据，这部分代码比较通俗易懂， 比如：
1a68d982e02fc22b464693a06f528fac.dex 读取用户手机上的app使用记录
95cd95ab4d694ad8bdf49f07e3599fb3.dex 读取用户手机的应用通知，这一波各大公司app全灭了吧？

自己去dex目录看吧。

部分dex文件的下载地址（3月3日已被拼多多从CDN服务器上删除）：

死相姐贵

反正最后也就罚酒三杯啦

流嘟啊

拼多多app又丑又难用，之前感觉和其大厂地位不是很匹配，原来开发精力是用在这上面了

lrgb

笑了。看了一下自启动记录，3月5号之前PDD动不动就几十次，3月5号更新版本立马老实了

feiyun

GooglePlay上的pdd被下架了

lrgb

说是6.50是隐藏了云控代码不是删了

谭浩强

罚什么，以前在windows上，后台程序卸不掉 远程给你装软件 扫硬盘收集数据什么的就是家常便饭，见谁被罚了

sqlist

这么严重的事监管部门都能装死

若荼泱

sqlist 发表于 2023-3-21 20:00
这么严重的事监管部门都能装死

有后台的。非法侵入计算机信息系统这种罪名不从来都是只抓小苍蝇，大老虎从来不管的吗。

若荼泱

我只能说好似，可惜没连带着 TEMU 一起下去。

勿徊哉

新华社刚刚发的，猜猜有没有拼多多

https://mp.weixin.qq.com/s/jyESwtpUbCPNf8n0Vq4qfg

Buke

勿徊哉 发表于 2023-3-21 20:41
新华社刚刚发的，猜猜有没有拼多多

https://mp.weixin.qq.com/s/jyESwtpUbCPNf8n0Vq4qfg

还没点进去看就知道没有，点进去看了这都什么小鱼小虾，这演技太假了

seki_m

你说他小鱼小虾，也有几个上市公司的app，真正的小鱼小虾比如nga又没有，说明还是钱没给够

若荼泱

Buke 发表于 2023-3-21 20:58
还没点进去看就知道没有，点进去看了这都什么小鱼小虾，这演技太假了 ...

别说，也有不是的。

狂鸟渡渡

蓝鸟刷到疑似编程随想被判了7年

信安学得好 喝茶喝到饱. 乌云之后缩卵缩得太对了

勿徊哉

狂鸟渡渡 发表于 2023-3-21 23:21
蓝鸟刷到疑似编程随想被判了7年

信安学得好 喝茶喝到饱. 乌云之后缩卵缩得太对了 ...

编程随想哪里是因为信安进去的……
你是不是和谁搞混了

gane1010

MD  根本就没人管啊

peshing

监管部门的技术感觉还停留在20年前，只管权限弹窗的问题