卡巴斯基：拼多多，吔屎啊你-灌水聊天-老男人游戏网配套论坛

卡巴斯基：拼多多，吔屎啊你

看你们的时候 2023-3-28 2808

看戏

Screenshot_2023-03-28-20-37-00-338_tv.danmaku.bili.png

【反病毒软件卡巴斯基开锤拼多多：拼多多APP含恶意代码，会攻击手机系统。-哔哩哔哩】 https://b23.tv/Jx03CCb

上一篇：ISO镜像用windows装载提示损坏，是不是肯定就有问题？
下一篇：D5内存的选择

热门回复

提里奥弗丁 2023-3-28

6

https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf
很好奇地方ZF怎么掩盖这个事，毕竟这也算破坏计算机信息系统罪了吧，googleplay也已经下架并且启用play系统保护卸载PDD了
微博有个技术大佬在PDD干过一段时间的，离开PDD了也不敢明说，只暗示了PDD曾经因为利用系统漏洞导致小米MAX机型无限crash，官方售后投诉激增

老男人游戏网配套论坛

21 楼

登陆后可以发表更多精彩回复立即登录丨立即注册

回帖

高级回复

最新回复 (19)

提里奥弗丁 2023-3-28

6 2楼

https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf
很好奇地方ZF怎么掩盖这个事，毕竟这也算破坏计算机信息系统罪了吧，googleplay也已经下架并且启用play系统保护卸载PDD了
微博有个技术大佬在PDD干过一段时间的，离开PDD了也不敢明说，只暗示了PDD曾经因为利用系统漏洞导致小米MAX机型无限crash，官方售后投诉激增
CAN1780 2023-3-28

1 3楼

norakura https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf 很好奇地方Z ...
pdd一直争议不断的，投诉也不断，从一开始的假货并夕夕，后来的砍单99.9999999，再到隐藏程序图标，只能删除假图标，这公司一直都有问题。
qq576691660 2023-3-28

0 4楼

卸载PDD
woshikay 2023-3-28

1 5楼

PDD人气高有他的优势，但是作为一个老头子，真的没精力去种树。。。。。那些优惠就算了。
deathsz 2023-3-29

0 6楼

这pdf文档，怕不是送给国内android app厂家的“顶级教程”吧。。。
比利十三 2023-3-29

0 7楼

老外要搞事情了，国外版PDD影响到一代人的消费关
lanshan 2023-3-29

1 8楼

简而言之，卡巴斯基的报告认为拼多多APP有如下功能。为方便理解，括号里会进行总结。粗读，请补充：
钻监管法规灰色地带，获取用户画像和社会关系网（利用监管不到位牟利）。
po解微信和手机系统屏蔽机制，实现点击链接就静默安装（这就是计算机病毒感染方式）。
编写针对性代码po解手机权限，编写代码读取输入法信息（相当于po解了手机安全系统）。
劫持日历、闹钟、壁纸和通知栏，伪造虚假的通知和消息（前端安全被破坏）。
在桌面制造假图标，使用户无法卸载。常驻后台耗电，逃避后台进程清理（间谍软件伪装）。
在拼多多运行和杀毒软件工作时，删除自身获取信息的系统记录。（清除痕迹，隐匿行踪）
伪装成微信、抖音和高德等应用骗取用户打开运行。（类似手法常见于勒索软件）
盗取微信等软件聊天记录，盗取浏览器上网记录，屏蔽竞争对手软件。（3Q大战，无差别不正当竞争）
以上报告针对拼多多6.44.0版本。
拼多多在其公开发布的主站APP中捆绑精心伪装过的漏洞代码，以在业务发展中取得巨大优势。
其保活防卸、隐私收集和攻击行为，全量覆盖所有用户。所有恶意行为均受到拼多多服务器云端策略精细化控制。（网络劫持他人设备当肉鸡）
卡巴斯基评价：
拼多多将4亿用户的设备变成了被其完全控制用于牟利的僵尸网络，超过了美国国家安全局，成为史上最大规模入侵事件。
https://www.zhihu.com/answer/2957432873
lanshan 2023-3-29

0 9楼

184190076 老外要搞事情了，国外版PDD影响到一代人的消费关
一定是老外攥着pdd的手写的病毒代码??
lanshan 2023-3-29

1 10楼

norakura https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf 很好奇地方Z ...
目前来看是我假装不知道就无事发生
自罚三杯都没有
jack5881 2023-3-29

0 11楼

吃瓜，哈哈哈
leeiq 2023-3-29

0 12楼

184190076 老外要搞事情了，国外版PDD影响到一代人的消费关
Temu还在，估计只是PDD app有问题
大内高高手 2023-3-29

0 13楼

饼夕夕早卸载了，常看好多人说它有多好，好个毛！我经常买的那些东西他家都没有。。
读书读坏脑 2023-3-29

0 14楼

norakura https://github.com/davincifans101/pinduoduo_backdoor_detailed_report/blob/main/report_cn.pdf 很好奇地方Z ...
删了吗？显示“Invalid PDF”了
hawkli 2023-3-29

0 15楼

多多一直是有关部门的常客，因为行业的关系，有关部门一直定期会约谈各公司，多次在约谈时看到给多多放的牌子，但几乎很少看到多多的人会参与，就算参与也都是来去匆匆，别人都整改完了，下次又能见到它。
深入浅出的交流 2023-3-29

0 16楼

嗨，锅内的app大都这些流氓行为，关联启动、获取应用列表、获取电话权限、获取/修改联系人、获取文件读取……………没办法，管理部门都管不住，用户更没招
龙神 2023-3-29

0 17楼

这些在国内都是基操了。国内想保护隐私不是有点难，是非常难。
看你们的时候楼主 2023-3-29

0 18楼

hawkli 多多一直是有关部门的常客，因为行业的关系，有关部门一直定期会约谈各公司，多次在约谈时看到给多多放的牌子，但几乎很少看到多多的人会参与，就算参与也都是来去匆匆，别人都整改完了，下次又能见到它。
估计上供不少，不然315根本没看到它上榜
弈星 2023-3-29

0 19楼

这和并夕夕其实没多大关系这本来就是"有关部门"搞出来的玩意
只不过"有关部门"很聪明把自己弄到幕后火力全集中在外罢了
并夕夕这么久都没被送走就已经很明白了
这些流氓行为也不是并夕夕独有
不信?
我举几个栗子
太古时代网站只需要用户名密码就行了后来出于安全性和忘记密码等原因多了邮箱验证
但从什么时候开始账号就必须强制和手机号码绑定的? 还必须要验证的?
又是从什么时候某些APP还强制身份证也绑定的?
像百度隔几天没登陆了在同一台机子同一个IP上哪怕你有密码也得强制手机验证
更搞笑的是我两个号以前只需要邮箱验证就能取回密码现在只弹出手机才能取回邮箱选项直接就屏蔽掉了
你要说是为了”安全“ 那我也只能假装相信了
邑轻尘 2023-3-29

0 20楼

去年开始正经玩PDD，说真的买模型玩具什么的还得是PDD便宜，就是很正常的正版价格，那时候各种优惠券一抓一大把，现在不行了，啥都没有价格也没啥优势了