拼多多app对用户进行zero-day攻击被抓现行

如果您是下载了拼多多安卓应用程序的数百万用户之一，你可能会陷入因为恶行而带来的震惊中。这款流行的电商应用程序被发现在不知情的设备上执行零日漏洞攻击，危及您的个人数据和安全。在本文中，我将解释什么是零日漏洞攻击，拼多多是如何利用它来未经授权地访问您的设备，并介绍您可以采取哪些措施来保护自己免受此类攻击的影响。

零日漏洞攻击是一种利用开发人员或供应商未知的软件或系统漏洞的网络攻击。通过利用安卓系统的一个权限升级漏洞，拼多多安卓应用程序已经被发现在数亿设备上执行零日漏洞攻击，这种攻击使拼多多应用程序在没有用户同意或通知的情况下从远程服务器运行恶意代码、访问用户个人敏感信息、安装恶意软件或在设备上执行其他恶意操作。

如果你身在中国，你一定知道这样的行为不止拼多多一家。这些恶行已经在阳光下进行。现在，你唯一能做的就是了解更多的信息和知识以为自己提供多一点的保护，或者在日常使用有互联网连接功能的设备时倍加小心，并遵循严格的安全使用实践指南（我会在日后在本站发布有关此话题的详细信息）。

什么是零日漏洞攻击（Zero-day attacks）

零日漏洞攻击是一种利用开发人员或供应商未知的软件或系统漏洞的网络攻击。术语“零日”表示安全团队没有时间来修补或更新以修复问题。零日漏洞攻击危及受影响的软件或系统的安全和功能，以及用户的数据和设备。

零日漏洞是存在于软件或系统中的安全漏洞，但开发人员或供应商尚未发现或报告。有时，这些漏洞是由道德黑客或安全研究人员发现并通知供应商并帮助他们解决问题的。然而，有时这些漏洞是由恶意黑客或网络犯罪分子发现的，他们会利用它们获取利益。他们可以利用这些漏洞创建恶意软件，例如病毒、蠕虫或勒索软件，这些软件可以感染软件或系统并造成损害。

零日漏洞攻击是一种使用零日漏洞进行攻击的技术。攻击者可以使用各种方法传递零日漏洞攻击，例如钓鱼电子邮件、恶意网站、驱动器下载或可移动媒体。零日漏洞攻击可以在目标软件或系统上执行恶意代码，允许攻击者访问敏感信息、安装恶意软件、执行拒绝服务攻击或控制设备。

零日漏洞攻击非常危险，因为它们通常无法被防病毒软件或防火墙检测到，因为它们使用未修补或未更新的未知漏洞。它们也可以在厂商意识到并发布修复补丁之前快速传播和广泛蔓延。一些过去曾造成重大破坏的零日漏洞攻击的例子包括：

Stuxnet：这个恶意计算机蠕虫针对多个国家的用于制造业的计算机，包括伊朗、印度和印度尼西亚。它利用Windows操作系统中的四个零日漏洞来渗透和破坏伊朗的核设施。

WannaCry：这个勒索软件攻击在2017年感染了150个国家的超过200,000台计算机。它利用Windows Server Message Block（SMB）协议中的一个零日漏洞来加密文件并向受害者勒索赎金。

SolarWinds：这次网络攻击入侵了提供IT服务给许多政府机构和私营组织的美国公司SolarWinds的网络管理软件。它利用软件更新机制中的零日漏洞插入后门，允许攻击者访问和窃取数以千计的客户数据。

拼多多如何谷歌系统的漏洞在数亿设备上执行零日漏洞攻击

拼多多是中国一款流行的电商应用，连接着各类商品的买家和卖家。该应用拥有超过7.5亿月活跃用户，是中国增长最快的在线平台之一。但是，在中国的第三方应用商店中分发的某些版本的拼多多应用程序包含了恶意代码，利用了Android操作系统中的零日漏洞。

恶意代码使用了一个隐藏的功能，称为“快应用”，允许拼多多应用程序在没有用户同意或通知的情况下从远程服务器上运行代码。这个功能旨在通过减小应用程序的大小和加载时间来改善用户体验，但它也打开了攻击者访问和操纵设备的后门。

快应用功能利用了Android的包序列化/反序列化机制中的漏洞，该机制用于在进程之间传输数据。漏洞（即CVE-2023-20963）允许攻击者在目标设备上以提升的权限执行任意代码。该代码随后可以执行各种恶意操作，例如：

• 访问敏感信息，如联系人、短信、位置、设备ID和IMEI号码
• 安装恶意软件，如广告软件、间谍软件或勒索软件
• 执行拒绝服务攻击，如耗尽电池电量或消耗网络带宽
• 控制设备，例如更改设置、发送命令或删除文件

某些版本的拼多多应用程序默认启用了快应用功能，并且用户无法禁用该功能。该功能还绕过了Google Play商店所需的安全检查和权限，这使得检测和防御更加困难。

如何检查您的设备是否受到拼多多零日漏洞攻击的影响

如果您从中国的第三方应用商店下载了拼多多应用程序，你已经受到了零日漏洞攻击。该漏洞仅影响安卓设备，不影响iOS设备或从Google Play Store或Apple的App Store下载该应用程序的设备。

要检查您的设备是否受到漏洞攻击的影响，您可以使用以下方法：

检查应用程序版本：恶意版本的拼多多应用程序是5.51.0和5.52.0。您可以在设备上转到“设置”>“应用程序”>“拼多多”来检查应用程序版本。如果您有这些版本之一，应立即卸载该应用程序并扫描您的设备以查找恶意软件。

检查应用程序权限：拼多多的恶意版本请求不必要的过多权限，例如访问联系人、消息、位置、设备ID、IMEI号和通知等。您可以在设备上转到“设置”>“应用程序”>“拼多多”>“权限”来检查应用程序权限。如果您看到任何可疑的权限，应撤销它们并卸载该应用程序。

检查设备性能：拼多多应用的恶意版本可能会导致设备表现不佳，例如耗电、占用网络带宽、系统变慢或显示不必要的广告。您可以通过在设备上进入“设置”>“电池”>“电池使用情况”或“设置”>“网络和互联网”>“数据使用情况”来检查设备性能。如果您从Pinduoduo应用中发现任何异常活动，应立即卸载它并扫描您的设备以查找恶意软件。

检查设备安全：拼多多应用的恶意版本可能通过安装恶意软件、访问敏感信息或接管您的设备来威胁您的设备安全。您可以使用可靠的杀毒软件或安全工具（如Microsoft Defender for Endpoint）来检查设备安全。如果您从Pinduoduo应用中检测到任何威胁或异常，应将它们移除并卸载该应用。

如何从您的设备中删除拼多多应用程序和快应用功能

如果您确认您的设备受到拼多多零日漏洞攻击的影响，您应该立即采取措施从您的设备中删除恶意应用程序和快应用功能。这将有助于防止进一步的损害并恢复您的设备安全。以下是您可以按照的一些步骤来从您的设备中删除拼多多应用程序和快应用功能：

卸载拼多多应用程序：您可以通过转到设备上的“设置”>“应用程序”>“拼多多”并点击“卸载”来卸载拼多多应用程序。或者，您也可以通过转到Google Play商店>“管理应用和设备”>“已安装”>“拼多多”并点击“卸载”来卸载该应用程序。

卸载快应用功能：快应用功能是一个单独的组件，当您卸载拼多多应用程序时可能无法删除。您可以通过转到设备上的“设置”>“应用程序”>“快应用”并点击“卸载”来卸载快应用功能。如果您没有看到快应用选项，您也可以通过转到Google Play商店>“管理应用和设备”>“已安装”>“快应用”并点击“卸载”来卸载它。

扫描您的设备查找恶意软件：在卸载Pinduoduo应用程序和快应用程序功能之后，您应该扫描您的设备，查找由攻击利用可能安装的任何恶意软件。您可以使用值得信赖的防病毒软件或安全工具，例如Microsoft Defender for Endpoint来扫描您的设备，并移除任何威胁或异常情况。

更新您的设备软件：为了防止未来的攻击利用您设备软件中的任何漏洞，您应该将您的设备软件更新到最新版本。您可以通过在设备上转到“设置”>“系统”>“系统更新”，然后点击“检查更新”来更新您的设备软件。如果有可用的更新，您应该尽快下载并安装它。

如何预防零日攻击危害你的设备

零日攻击是最危险的网络安全威胁之一，因为它们可以绕过传统的安全解决方案并利用未知的漏洞。但是，有一些措施可以采取，以减少零日攻击的风险并保护您的设备。以下是其中的一些：

保持软件更新：安装安全补丁以尽快修补已知的漏洞。这将防止攻击者使用过时的漏洞攻击您的设备。您还可以为设备软件、应用程序和防病毒软件启用自动更新，以确保您始终拥有最新版本。

使用可信赖的软件源：避免从不受信任的来源下载和安装软件，例如第三方应用商店、网站或电子邮件。这些来源可能包含恶意软件，可以利用零日漏洞或引入新漏洞。在安装任何软件之前，您应该检查其权限和评论，并仅授予其功能所需的必要权限。

使用Web应用程序防火墙（WAF）：WAF是一种安全解决方案，可以监视和过滤所有进入您的Web应用程序的流量。它可以阻止恶意流量，防止零日漏洞攻击到达您的设备。WAF还可以适应新的威胁，并实时更新其规则。您应该使用一种有效、可靠且易于管理的WAF。

监视出站流量和入站流量：监视网络的出站流量可以帮助您检测到任何零日漏洞所造成的威胁或数据外泄的迹象。您可以使用网络监视工具或安全信息和事件管理（SIEM）系统分析网络流量，并识别任何异常或可疑活动。您还应设置警报和通知以检测任何不寻常或未经授权的流量。

拼多多在中国的兴起

拼多多是一个社交电商平台，连接了各种商品的买家和卖家，例如服装、生鲜、电子产品和家居用品。它是中国第二大电商平台，拥有超过8.5亿活跃买家和2021年超过1.6万亿元的总交易额。

拼多多由黄峥于2015年创立，他是一名前谷歌工程师，希望创建更具互动性和吸引力的在线购物体验。他结合了团购、游戏化和社交网络的概念，创建了一个平台，允许用户邀请朋友和家人一起购买产品以获得折扣价格。参与拼单的人越多，价格就越低。

拼多多在中国的流行可以归因于几个因素：

它满足了低线城市和农村地区的需求和偏好，在这些地区电子商务渗透率较低，消费者更注重价格而非品牌。拼多多以低价格提供各种产品，通常直接从农民或制造商那里采购，并提供免费或补贴的运输和交付服务。

它利用社交媒体和口碑营销的力量，用户可以通过微信与他们的联系人分享他们的购买和推荐。Pinduoduo也通过提供现金奖励、优惠券或免费产品来激励用户邀请新用户。

它创造了有趣和令人上瘾的在线购物体验，用户可以浏览个性化推荐，玩迷你游戏，参加直播活动，赢取奖品或折扣。拼多多还使用人工智能和大数据分析来优化其产品选择、定价和用户界面。

拼多多安卓应用程序对用户的恶意攻击被发现所产生的影响

拼多多的零日漏洞攻击引发了有关电子商务平台、应用程序开发者和设备制造商对保护其用户隐私和安全负责和问责的严重法律和道德问题。零日漏洞攻击还揭示了中国网络法律和规定的漏洞，以及执行它们的挑战。

拼多多漏洞攻击导致的一些法律和道德影响是：

零日漏洞攻击侵犯了用户的个人信息保护权，因为它在未经用户同意或知情的情况下访问和传输了他们的敏感数据。根据中国的《网络安全法》，网络运营者必须在收集和使用用户个人信息之前获得用户的同意，并采取措施确保其安全和保密性。 零日漏洞攻击违反了用户的网络安全权利，因为它在用户设备上安装了恶意软件并执行了恶意操作。根据中国的《网络安全法》，网络运营者必须采取技术措施防止病毒、网络攻击、网络入侵和其他威胁网络安全的行为。

这种零日漏洞攻击触犯了用户的消费者权益，因为它提供的商品与描述或期望不符。 根据中国的《电子商务法》，电商经营者必须提供真实准确的产品和服务信息，不得欺骗或误导消费者。 此次零日漏洞攻击破坏了拼多多及其他电商平台和应用开发者的声誉和信誉。零日漏洞攻击引发了公众的愤怒和对拼多多的抵制，也引起了有关当局的调查。此零日漏洞攻击还引发了人们对于通过第三方应用商店分发的其他应用程序的质量和安全性的疑虑和担忧。 针对拼多多零日漏洞攻击的责任问题并不明确，因为它涉及到多个不同角色和责任方。一些可能要负责的方面包括：

拼多多：作为包含恶意代码的应用程序的开发者和运营商，拼多多可能因未能确保其安全性和完整性以及侵犯其用户权利而被追究责任。拼多多可能会面临来自其用户、监管机构或竞争对手的法律诉讼，要求进行赔偿或处罚。

快应用：作为使恶意代码得以执行的功能，快应用可能因未能验证和监控其来源和内容，以及绕过Google Play商店所需的安全检查和权限而被追究责任。快应用可能会面临来自其用户、监管机构或Google的法律诉讼，要求进行赔偿或处罚。

第三方应用商店：作为分发包含恶意版本的拼多多应用程序的商店，第三方应用商店可能因未能检查和监管其应用程序，以及误导其用户而被追究责任。第三方应用商店可能会面临来自其用户、监管机构或Google的法律诉讼，要求进行赔偿或处罚。

设备制造商：作为受攻击的设备的提供者，设备制造商可能因未能修补或更新其软件或硬件以防止零日漏洞而被追究责任。设备制造商可能会面临来自其用户或监管机构的法律诉讼，要求进行赔偿或处罚。

下面是来自arstechnica.com有关报告的完整翻译（原文请访问：https://arstechnica.com/information-technology/2023/03/android-app-from-china-executed-0-day-exploit-on-millions-of-devices/）

经中国第三大电商公司数字签名的安卓应用程序利用了零日漏洞，从而秘密控制了数百万终端用户设备，窃取个人数据并安装恶意应用程序。安全公司Lookout的研究人员证实了这一点。

这些恶意版本的拼多多应用程序供用户在第三方市场上下载获取，而这些第三方市场是中国和其他地区用户所依赖的，因为官方的Google Play市场在中国被禁用并且无法访问。在Google Play或苹果的App Store中没有发现恶意版本。上周一，TechCrunch报道称，在Google发现在其他地方该应用程序的恶意版本之后，将拼多多从其Google Play中下架。TechCrunch报道称，在第三方市场上提供下载的拼多多应用程序的恶意版本利用了几个零日漏洞，即供应商发布修补程序之前已知或被利用的漏洞。

高级攻击

Lookout的初步分析发现，至少有两个非Play版本的Android版拼多多利用了CVE-2023-20963，这是谷歌在两周前提供给终端用户的更新中修补的一个Android漏洞的跟踪号。这是一个权限升级漏洞，其在谷歌披露之前就被利用了，它让应用程序使用非法方式提升其应有的权限，获取设备的最高权限并执行相应的操作。该应用程序使用这些权限从它指定的网站下载代码，并在特权环境中运行这些恶意代码。

恶意应用程序代表了“一个基于应用程序的恶意软件的非常复杂的攻击”，Lookout的三位研究人员之一Christoph Hebeisen在一封电子邮件中写道。“近年来，在大规模分发的应用程序中很少见到这种利用漏洞进行攻击的情况。考虑到这是一种基于应用程序的高级恶意软件，它具有极端的侵略性。这种状况是手机用户需要专注进行防卫的重要威胁”

Hebeisen 得到了 Lookout 研究员 Eugene Kolodenker 和 Paul Shunk 的协助。该研究员补充说，Lookout 的分析加快了，从而可以更彻底的审查可能会在应用程序中发现更多漏洞攻击。

拼多多是一款连接买家和卖家的电子商务应用程序。最近据报道，该应用程序拥有 7.513 亿月均活跃用户。尽管比其中国竞争对手阿里巴巴和京东小，但 PDD Holdings，即拼多多的上市母公司，已成为中国增长最快的电子商务公司。

在 Google 从 Play 中删除 拼多多应用程序后，PDD Holdings 的代表否认了其任何应用程序版本都是恶意的。

“我们强烈反对匿名研究人员的猜测和指控，认为拼多多应用程序是恶意的，”他们在一封电子邮件中写道。“3 月 21 日上午，Google Play 通知我们，拼多多 APP（以及其他几个应用程序）因当前版本不符合 Google 政策而被暂时停用，但没有分享更多细节。我们正在与 Google 沟通以获取更多信息。”

公司代表没有回复要求跟进问题并公开Lookout的法证分析结果的电子邮件。

对拼多多应用的怀疑最初在上个月出现在一个自称为Dark Navy的研究服务的帖子中。

该贴文说到，“知名的互联网制造商将继续挖掘当前市场上主流手机系统的新Android OEM相关漏洞，并在其公开发布的应用程序中实施漏洞攻击。”该帖子没有提到公司或应用程序的名称，但它确实说该应用程序利用了“一种在近年来似乎不为人知的绑定风水-Android包序列化和反序列化[漏洞]”。该帖子包括在据称的恶意应用程序中发现的几个代码片段。其中一个字符串是“LuciferStrategy”。

几周后，使用用户名davinci1012的人发布了一个Github帖子，翻译成“拼多多后门”。它提到了Dark Navy的帖子，并提供了代码和步骤，研究人员可以按照这些步骤突破反分析的防御，并找到在3月5日之前发布的拼多多安卓应用程序中的一个被指控的漏洞攻击。几天后的后续Github帖子包括更多细节，声称显示了拼多多应用程序中的恶意功能。在第二篇davinci1012帖子发布后几天，Google从Play中删除了Pinduoduo应用程序。

Lookout对两个在3月5日之前发布的拼多多APK应用样本进行的取证分析——一个具有SHA256加密签名3c5a0eba055633f0444b9f69ae70dc93938ecb6b5df34d8e677c96d7c77f113f，另一个是234aa7a4a70026e0585a3bf2acae1cb21d414aeb6f3d76955e92e445de998944——已经确定两者都包含恶意代码，利用了CVE-2023-20963，这是Android权限升级漏洞，在3月6日之前并没有公开，并且在用户设备中的修补程序需要两周后才能实现。这两个恶意APK都使用了与在Google Play上提供的良性拼多多应用程序相同的私人签名密钥进行签名。

根据DarkNavy的帖子，恶意的Pinduoduo应用程序包括以下功能：

• 以隐蔽方式安装该应用程序（即在用户不知情的情况下安装该应用程序）
• 无法卸载
• 虚假膨胀拼多多的日活跃用户和月活跃用户数量
• 卸载竞争对手的应用程序
• 窃取用户隐私数据，并回避各种隐私合规规定

Dark Navy和davinci1012的指控得到证实

Lookout的分析是在两天内完成的，这不足以审查两个拼多多应用程序样本的所有相关技术方面。更为复杂的是，第二阶段负载从互联网上下载。由于该阶段没有数字签名，Lookout无法将其归因于PDD Holdings。

尽管如此，该分析似乎证实了Dark Navy的描述的准确性。除了确定存在Android零日漏洞外，还发现了以下证据：

• 在感染的设备上添加小部件
• 跟踪已安装应用程序的使用统计信息
• 解析通知
• 访问 Wi-Fi 和位置信息

“我们远未对它们的全部功能有一个全面的了解（总共有超过30个DEX文件），但初步分析基本上支持这些声明，”Hebeisen写道。“还有一些代码看起来似乎与防止应用程序被卸载一致。因此，从我们所能看到的内容来看，这些声明似乎反映了文件中的内容。”

还有其它一些一致性。首先，“LuciferStrategy”字符串在Dark Navy的帖子中显示，在Lookout分析的样本中也出现了。此外，分析的漏洞链使用了EvilParcel，这是一种自2012年以来一直在使用的特权升级漏洞的攻击方式。Dark Navy将应用程序利用的零日漏洞描述为“bundle feng shui-Android parcel序列化和反序列化”漏洞，这个描述准确地捕捉了EvilParcel的要点。

“EvilParcel exploits” 是一类利用一组相关漏洞的漏洞利用程序，其中 CVE-2023-20963 就是其中之一。Kolodenker 写道：“这些漏洞利用程序允许使用旧的权限升级技术（最初来源于2012年），该技术先前已被修补。然而，现在可以通过 EvilParcel 来绕过该修补程序。”

Dark Navy 的文章提到了另一个 Android 零日漏洞，被跟踪为 CVE-2021-25337，Google 发现该漏洞正在被 Samsung 手机攻击利用。目前没有迹象表明恶意的拼多多应用程序完全利用了这个漏洞。

由于至少有两个 Pinduoduo 应用程序样本签名使用了官方密钥，存在零日漏洞利用代码，因此有几种可能的结论。代码可能存在于：

1. Pinduoduo 开发人员故意分发恶意代码；
2. 恶意内部人员的行为；
3. 外部方获取了泄露的秘密密钥；
4. 被攻击的软件构建系统造成的供应链攻击。

在这种情况下，从 Google Play 中删除拼多多似乎是合理的。

没有证据表明在 Play 或 App Store 中存在恶意版本，从这些来源获取其应用程序的拼多多用户不受影响。从第三方市场获取其应用程序的 Android 用户则没有这么幸运，而在中国几乎所有 Android 用户都是从第三方市场获取应用程序。目前不知道有多少第三方下载的拼多多，但考虑到该应用程序的广泛覆盖范围，数量肯定是数百万甚至数亿。