周一,谷歌宣布已将中国电子商务巨头“拼多多”开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。
在过去的几周里,多名中国安全研究人员指责“拼多多”——一家拥有近8亿活跃用户的新兴电子商务巨头——为Android系统开发的应用程序包含旨在监控用户的恶意软件。
谷歌发言人埃德·费尔南德斯(Ed Fernandez)表示,“已通过Google Play Protect强制阻拦此应用程序的非Play商店版本安装,这些版本被发现包含恶意软件”,他指的是不在Google Play商店里的应用程序。
实际上,谷歌已经设置了Google Play Protect,即其安卓安全机制,以阻止用户安装这些恶意应用程序,并警告那些已经安装的用户,提示他们卸载这些应用程序。
费尔南德斯补充说,谷歌已暂停拼多多在Play商店的官方应用程序,“出于安全考虑,我们将继续调查。”
一位要求匿名的安全研究人员向TechCrunch通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日攻击来攻击他们的用户。
拼多多没有回应置评请求。
在一次测试中,TechCrunch安装了一个可疑的恶意应用程序,谷歌弹出一条消息,警告该应用程序是恶意的。
需要注意的是,Google Play在中国不可用,据匿名安全研究人员称,恶意应用程序出现在手机制造商三星、华为、Oppo和小米的自定义应用程序商店中。
拼多多apk内嵌提权代码,及动态下发dex分析:
https://github.com/davinci1010/pinduoduo_backdoor
拼多多App 获取系统权限之后,主要做了下面几件事(正常 App 无法或者很难做到的事情),各种不把用户当人了
自启动、关联启动相关的修改,偷偷打开或者默认打开
开启通知权限
监听通知内容
获取用户的使用手机的信息,包括安装的 App、使用时长、用户 ID、用户名等
修改系统设置
整一些系统权限的工具方便自己使用