V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jdandelion573
V2EX  ›  分享发现

pdd 打响国际知名度

  jdandelion573 · 2023-04-03 17:35:12 +08:00 · 22017 次点击
  •   查看本主题需要登录
    这是一个创建于 710 天前的主题,其中的信息可能已经有所发展或是发生改变。

    CNN 发表了关于拼多多利用安卓系统漏洞进行“提权攻击”获取用户信息的调查。邀请来自多国的技术专家检验了拼多多 2 月份发布的 6.49 版本的安装包,其中 3 家机构详细检验了拼多多的代码,在调查中发现拼多多能够通过攻击安卓系统漏洞提升应用权限,读取原本不能获得的系统信息和其他软件的信息,也可以修改系统设置,让它变得很难卸载。

    拼多多意图将潜在恶意代码隐藏在看起来拥有正当名字的文件夹内,比如他们在名为 http://com.google.android 的文件夹中发现了拼多多的代码。在发现的总计约 50 个针对安卓的漏洞攻击中,除了少部分针对原生安卓,绝大部分是针对厂商 OEM 系统漏洞的,包括三星、华为、小米、Oppo 等。 拼多多在 3 月 5 日发布的 6.50 版本中移除了这些恶意代码,但是专家表示用于加载这些代码的机制还在,并且将来可以通过从云端重新激活这些功能。

    采访了多位拼多多的前员工和现员工,其中一位员工表示,拼多多自 2020 年开始针对安卓系统的漏洞开发这些功能。为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击。 在 6.50 版本发布后的两天,也就是 3 月 7 日,原本专门负责针对这些漏洞进行开发的 100 人左右的团队被突然解散 。

    这些产品经理和程序员发现自己无法登陆内部通讯软件 Knock ,他们访问内部数据和文件的权限也被撤销。 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu ,但是有约 20 位针对安卓漏洞的核心开发人员仍然还留在拼多多。

    https://edition.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html

    不愧是拼多多,能在实锤还坦然自若,还能让国内媒体全部装死。

    123 条回复    2023-04-10 18:27:15 +08:00
    1  2  
    jdandelion573
        1
    jdandelion573  
    OP
       2023-04-03 17:41:51 +08:00   ❤️ 45
    拼多多凭实力扭转我对它山寨便宜的印象,用深不可测的舆论管控能力,刷新我对它实力上限和道德下限的认知。
    dbskcnc
        2
    dbskcnc  
       2023-04-03 17:43:15 +08:00   ❤️ 11
    支持深挖 Pdd,这种行为已经是大规模入侵了,只有继承了 gxx 的基因才能如此霸气。
    xinh
        3
    xinh  
       2023-04-03 17:45:25 +08:00 via iPhone   ❤️ 5
    不知道 pdd 后面有谁的白手套?
    jdandelion573
        4
    jdandelion573  
    OP
       2023-04-03 17:47:41 +08:00   ❤️ 15
    @dbskcnc 100 多人的团队去攻击用户手机系统的漏洞,这团队规模说明这些行为是长期有计划的,全体高层都知晓的。最可怕的还是犯罪窃取几亿人信息后,被曝光后还能压住舆论,逍遥法外。这已经不是一家正常公司能做到的事了。
    makelove
        5
    makelove  
       2023-04-03 17:57:42 +08:00   ❤️ 1
    pdd 开发这些是怎么想的,笃定暴露了也没事?结果果然没事
    qsnow6
        6
    qsnow6  
       2023-04-03 17:58:26 +08:00   ❤️ 25
    就这帮人的操性,Tiktok 最近被架火上烤一点也不冤
    delogn
        7
    delogn  
       2023-04-03 18:02:13 +08:00
    所以这项目是怎么立项的呢。。。而且团队这么大,保密做得这么好。。。
    cvbnt
        8
    cvbnt  
       2023-04-03 18:05:39 +08:00 via Android   ❤️ 1
    在可预见的未来,temu 也会像 tiktok 一样的待遇
    alne
        9
    alne  
       2023-04-03 18:07:44 +08:00   ❤️ 5
    @qsnow6 #6 典中典
    jacy
        10
    jacy  
       2023-04-03 18:30:59 +08:00
    这种迟早会被发现,肯定提前准备了公关和应对,也印证了现在如此安静
    xingL
        11
    xingL  
       2023-04-03 18:40:14 +08:00   ❤️ 29
    拿几亿用户的隐私和中国 App 的声誉谋取利益,败露后监管机构和媒体全部装死,真是魔幻
    zqlcrow
        12
    zqlcrow  
       2023-04-03 18:41:05 +08:00
    我先来:等一个官方发言,不传谣不造谣。
    SteinsGate
        13
    SteinsGate  
       2023-04-03 18:41:08 +08:00 via Android   ❤️ 2
    不懂就问,有什么办法能让 pdd 受到上面的制裁
    fairless
        14
    fairless  
       2023-04-03 18:45:10 +08:00   ❤️ 10
    简直太可怕了,为什么整天盯着普通人断卡行动,这种大规模集团犯罪却屁事没有
    fairless
        15
    fairless  
       2023-04-03 18:46:12 +08:00   ❤️ 1
    如果石锤,这帮人都是妥妥破坏计算机信息系统罪了
    jdandelion573
        16
    jdandelion573  
    OP
       2023-04-03 18:46:14 +08:00 via Android   ❤️ 33
    @xingL 这才是我最不能理解的事,这件事情佐证中国企业 APP 确实有盗取用户隐私的情况,哪怕出于最基本的法律程序,也会调查和罚款维护脸面。有关部门和媒体的装死相当于把中国企业的信誉一起毁掉,埋葬海外应用市场。
    FozillaMox
        17
    FozillaMox  
       2023-04-03 18:54:08 +08:00 via iPhone
    感觉拼多多有后台。
    zk8802
        18
    zk8802  
       2023-04-03 18:57:23 +08:00   ❤️ 2
    有一种可能:这些间谍功能是配合国安要求开发的,因此也当然会国安进行兜底。
    yyf1234
        19
    yyf1234  
       2023-04-03 18:57:29 +08:00 via iPhone   ❤️ 4
    以前我对«你法我笑»这个词挺抵触的,经过 pdd 这次之后,😁😁😁
    jdandelion573
        20
    jdandelion573  
    OP
       2023-04-03 19:06:12 +08:00 via Android
    @FozillaMox 也是一样想法,虽然是无根据的猜想。但面对拼多多的死穴,商业竞争对手能忍着不出招,确实罕见,背后可能有普通人没法涉及的秘密,才会各方这么安静。
    jdandelion573
        21
    jdandelion573  
    OP
       2023-04-03 19:07:05 +08:00 via Android   ❤️ 2
    @jdandelion573 或者说大家手上都不干净才会这么安静:)
    Reid
        22
    Reid  
       2023-04-03 19:51:31 +08:00
    一直好奇为啥这里没有人讨论前段时间 Tiktok 的公开辨证会
    Weedy152
        23
    Weedy152  
       2023-04-03 20:13:28 +08:00
    @dbskcnc gxx 是?
    zzhzero
        24
    zzhzero  
       2023-04-03 21:24:02 +08:00
    https://github.com/davinci1010/pinduoduo_backdoor
    这个项目的第一次提交时间就是 3.7 懂了吗
    icoming
        25
    icoming  
       2023-04-03 21:36:50 +08:00
    @Reid Tiktok 在国内没业务。本身网友喜欢讨论会用到、见到的东西。
    Dogtler
        26
    Dogtler  
       2023-04-03 22:40:17 +08:00 via iPhone
    pdd 只适合买菜和吃的,其它就算了吧。挂羊头卖狗肉比比皆是,没有任何质量保证
    tkbo
        27
    tkbo  
       2023-04-03 22:59:38 +08:00
    国内怎么没媒体报道
    expkzb
        28
    expkzb  
       2023-04-03 23:03:19 +08:00   ❤️ 1
    @tkbo 不能说民营企业家的坏话不是,热乎的决议
    est
        29
    est  
       2023-04-03 23:04:08 +08:00   ❤️ 1
    > 一开始只针对小城市和农村地区的用户启用了这些攻击

    其实这句话也可以理解为:很多农村手机里的 app 都有类似灰产后门。这是一个行业惯例。。。
    yhtbiy
        30
    yhtbiy  
       2023-04-03 23:04:44 +08:00
    是不是又说明了 iPhone 手机比安卓手机安全
    Cu635
        31
    Cu635  
       2023-04-03 23:10:25 +08:00   ❤️ 5
    这就是真正的黑社会。
    “中国没有黑社会,只有黑恶势力和黑社会性质的组织”这句话已经不再适用了。
    pista
        32
    pista  
       2023-04-03 23:41:24 +08:00 via Android   ❤️ 4
    拼多多是一家在美国上市的公司,因此,它需要遵守美国证券交易委员会( SEC )的监管规定,包括披露与其业务相关的信息,包括数据隐私和安全问题。如果拼多多利用漏洞侵犯用户隐私,未能披露此类风险,SEC 可以对其进行调查并采取法律行动,以保护投资者和公众利益。
    bclerdx
        33
    bclerdx  
       2023-04-03 23:56:14 +08:00
    @pista 本该如此!
    bclerdx
        34
    bclerdx  
       2023-04-04 00:02:39 +08:00
    kingfalse
        35
    kingfalse  
       2023-04-04 00:08:16 +08:00 via Android
    他们总说我们自己人不支持国产,却永远不看看他们自己做了多少中国人骗中国人的事情
    decade1024
        36
    decade1024  
       2023-04-04 00:15:12 +08:00 via Android   ❤️ 8
    @kingfalse 中国留学生在泰国被杀,凶手就是三个中国人,害中国人的 99%都是中国人,但是中国人大多数却对素未蒙面的外国人充满仇恨,认为全世界都在还害它。
    wganbleuthall
        37
    wganbleuthall  
       2023-04-04 00:20:46 +08:00
    @yhtbiy #30 我第一个想法也是这个 我用 ios 是不是就逃过了
    agagega
        38
    agagega  
       2023-04-04 00:40:47 +08:00
    B 站那些恰拼多多饭的 up 主有一个敢出来说的吗😁
    PVXLL
        39
    PVXLL  
       2023-04-04 00:43:01 +08:00 via iPhone   ❤️ 1
    对于企业家犯罪,我们要做到能不捕尽量不捕。
    shwnpol
        40
    shwnpol  
       2023-04-04 00:53:00 +08:00
    @bclerdx 早该如此
    hlwjia
        41
    hlwjia  
       2023-04-04 00:53:42 +08:00
    还以为股票能大跌,抄点底,没想到没跌多少就开始反弹。

    生气!
    az467
        42
    az467  
       2023-04-04 00:54:06 +08:00
    Temu 被干死前看都不看
    Andreas8
        43
    Andreas8  
       2023-04-04 00:57:00 +08:00 via iPhone
    对外唯唯诺诺,对内重拳出击👊😅
    cwcc
        44
    cwcc  
       2023-04-04 01:04:54 +08:00
    pdd 大概率是通了天的,看以往有关寻梦公司的新闻就能感觉出来。
    wwbfred
        45
    wwbfred  
       2023-04-04 07:27:28 +08:00
    什么,逆向拼多多?妥妥的非法侵入计算机信息系统罪😅
    freeair
        46
    freeair  
       2023-04-04 07:44:34 +08:00 via iPhone
    技术上不评论,自己原本日常是不用这 app 的,倒是有次实在没办法因为帮人“砍一刀”装了 app ,就放手机休眠了,但就觉得这东西看着怎么像传销似的,不靠谱。这次看到新闻,才想起手机里有这个 app ,赶紧注销账户后卸载了。
    xianlu
        47
    xianlu  
       2023-04-04 08:31:15 +08:00
    永远支持拼多多,我说京东淘宝要挑战拼多多怎么尽是偏门,不愿真心付出的任何事物是得不到认可的,拼多多退货都是顺风上门的,隐私这东西在这个国家就像如来,见不到的,有什么要分析的。
    abbenyyy
        48
    abbenyyy  
       2023-04-04 08:35:33 +08:00
    @wganbleuthall iOS 不升级系统,同样也有 oday 漏洞,理论上同样可以被利用,但是苹果会强制你升级系统,哈哈。
    dddddd
        49
    dddddd  
       2023-04-04 09:25:16 +08:00
    这种行为在中国是牢底坐穿的犯罪
    zhandouji2023
        50
    zhandouji2023  
       2023-04-04 09:43:39 +08:00 via iPhone
    中国出海的公司都面临着“党大还是法大”这个问题
    akring
        51
    akring  
       2023-04-04 09:45:48 +08:00
    将来 iOS 侧载一开肯定也是群魔乱舞
    sky857412
        52
    sky857412  
       2023-04-04 09:46:11 +08:00
    在国外能罚到破产
    qq565425677
        53
    qq565425677  
       2023-04-04 09:49:53 +08:00
    说是这么说,问了一圈同学,多数人觉得自己手-机上的东西没什么见.不.得.人.的,而 p.d.d 的优..惠是实打实的
    Greenm
        54
    Greenm  
       2023-04-04 09:50:55 +08:00   ❤️ 10
    我不恨拼多多,我只恨在证据确凿、有法可依的情况下仍然装死不声不响的当局。

    有拼多多珠玉在前,南山必胜客,360 等大公司你猜他们会不会做类似的事呢,反正“我上头有人”。

    为国内用户,特别是安卓用户感到悲哀。
    mosfet
        55
    mosfet  
       2023-04-04 10:05:07 +08:00
    背后是李 X 啊,七武海
    shuson
        56
    shuson  
       2023-04-04 10:05:30 +08:00
    cnn 这些假洋鬼子记者 捕风捉影的能力真是不知廉耻
    easymbol
        57
    easymbol  
       2023-04-04 10:06:11 +08:00
    破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统的正常运行,后果严重的行为。
    有一个疑惑手机算不算在内?
    niolas
        58
    niolas  
       2023-04-04 10:09:16 +08:00
    滴滴死的好冤枉
    wuweijia
        59
    wuweijia  
       2023-04-04 10:10:41 +08:00
    我看股票稳定甚至在持续上涨啊
    ZeroDu
        60
    ZeroDu  
       2023-04-04 10:15:50 +08:00
    “开始只针对小城市和农村地区的用户启用了这些攻击” 绝了。这是目标用户并且被发现的概率低
    mxT52CRuqR6o5
        61
    mxT52CRuqR6o5  
       2023-04-04 10:18:47 +08:00 via Android
    说明中国有很好的营商环境,股票上涨很正常
    codespots
        62
    codespots  
       2023-04-04 10:18:56 +08:00
    @xianlu 为了便宜仨瓜俩枣,卖节操卖给魔鬼,这是什么狗币三观?
    HariopaNic
        63
    HariopaNic  
       2023-04-04 10:22:01 +08:00
    sh 好不容易有一个大的互联网厂子,可不得睁一只眼闭一只眼
    fournoas
        64
    fournoas  
       2023-04-04 10:24:53 +08:00
    > 为了避免被暴露,一开始只针对小城市和农村地区的用户启用了这些攻击

    真恶心
    liuhaibin
        65
    liuhaibin  
       2023-04-04 10:30:02 +08:00
    拼夕夕 5 年前被骗过一次,从来没有装过了。有多远滚多远。
    googleaccount
        66
    googleaccount  
       2023-04-04 10:30:06 +08:00
    这个事情安全圈内应该早知道了,前几年知名大黑客 Flanker 因为不想干这事 被 PDD 恶心辞退, 大佬和 PDD 直接开撕。
    justfun
        67
    justfun  
       2023-04-04 10:31:36 +08:00
    海南省 gov 办公厅印发了《关于支持民营经济发展的若干措施》。其中提到,要营造公平公正法治环境。“贯彻落实少捕慎诉慎押刑事司法政策,对民营企业家涉案人员能不捕的不捕、能不诉的不诉、能不判实刑的不判实刑,能不继续羁押的及时予以释放或变更强制措施。”
    googleaccount
        68
    googleaccount  
       2023-04-04 10:33:07 +08:00   ❤️ 1
    给不了解的人看下当时的瓜 https://zhuanlan.zhihu.com/p/366414785
    @googleaccount
    723X
        69
    723X  
       2023-04-04 10:44:30 +08:00 via Android
    只能说什么样的土壤结出什么样的果实
    zhaol
        70
    zhaol  
       2023-04-04 10:49:18 +08:00
    这件事一点水花都没有,要说 pdd 后面没人我是不信的。
    ccYUI
        71
    ccYUI  
       2023-04-04 10:55:43 +08:00
    @SteinsGate 中国软件应该收到保护,符合国家法规要求!!
    georgezhang
        72
    georgezhang  
       2023-04-04 10:57:22 +08:00
    反手立马注销账号
    fengjianxinghun
        73
    fengjianxinghun  
       2023-04-04 10:58:21 +08:00
    @Greenm 可能已经做了很久了。
    xmh51
        74
    xmh51  
       2023-04-04 11:03:51 +08:00
    干死 pdd 相关人员和主导者。全抓去坐牢去。
    另外莫上纲上线。
    Oilybear
        75
    Oilybear  
       2023-04-04 11:06:21 +08:00
    @zzhzero gxv 还不懂吗
    xmh51
        76
    xmh51  
       2023-04-04 11:07:48 +08:00   ❤️ 1
    外媒报道挺好的,有的地方保护者无法无天了,pdd 在上海就是皇帝。
    xmh51
        77
    xmh51  
       2023-04-04 11:08:49 +08:00
    @ccYUI 不符合的,违法法律了,按照爬虫入刑的标准,pdd 的应该有人要坐牢
    jdandelion573
        78
    jdandelion573  
    OP
       2023-04-04 11:11:04 +08:00
    @googleaccount 感谢这些有良知的人,唾弃那些作恶者和无所作为的监管,两者狼狈为奸。作恶可以毫无后果,被发现后装作什么事都没发生过,坚守道德底线遵纪守法却要丢工作,魔幻且讽刺。
    aLazarus
        79
    aLazarus  
       2023-04-04 11:16:09 +08:00
    换一种思路,这些境外媒体集体攻击国内的互联网厂商,企图打压国内的互联网发展,从而压制中国的经济发展。
    国内已经明确了对民营企业家涉案人员能不捕的不捕、能不诉的不诉,但境外组织依然不依不饶,这不就是打了阿中哥哥的脸?
    xmh51
        80
    xmh51  
       2023-04-04 11:28:58 +08:00
    @aLazarus 这不公平,这么大范围的黑客行径,性质恶劣,这个脸打的好。
    jdandelion573
        81
    jdandelion573  
    OP
       2023-04-04 11:29:20 +08:00 via Android   ❤️ 2
    @aLazarus 现在中国人的隐私都需要外国 meiti 来维护,讽刺而又现实。从 sanlu 奶粉食品安全到 9 96 劳动 quanyi ,从 yq fengkong 人身财产安全再到现在的网络隐私安全,维护普通人 quanyi 这场辩论中,中国的专业 jizhe 显然已经退场,只剩下我们这些普通人在自呼自救。
    jdandelion573
        82
    jdandelion573  
    OP
       2023-04-04 11:30:25 +08:00 via Android
    @jdandelion573 笑死,原来是 quanyi 两个字打不出来,这情况很符合我上面说的话。
    mscsky
        83
    mscsky  
       2023-04-04 11:32:39 +08:00
    拼多多各种短视频之流确实农村用户比城市用户体验更差
    dudubaba
        84
    dudubaba  
       2023-04-04 11:39:10 +08:00
    工信部:你说什么?我看不见啊
    SomeBodsy
        85
    SomeBodsy  
       2023-04-04 11:49:07 +08:00
    李强牛逼
    glfpes
        86
    glfpes  
       2023-04-04 11:55:20 +08:00
    即使这个信息被广而告之,国内人士仍然会继续使用 PDD ,因为它便宜,服务(退换货)做的合格。
    我为什么敢这么说?因为我们团队的几个人首先是肯定知道这个事件的,然后他们还在使用 PDD 。
    这可能是这是因为他们同时知道,自己的信息早就泄露了,虱子多了不咬人。
    李彦宏那句中国人不需要隐私,是至理名言,感谢耿直的 robin 说了出来。
    glfpes
        87
    glfpes  
       2023-04-04 11:56:25 +08:00
    我提到的这群人至少年薪 50W ,其中有俩带佬应该是年薪百万。
    但在上海的房价面前,一样需要用 PDD 。
    fairless
        88
    fairless  
       2023-04-04 11:58:34 +08:00
    @easymbol 肯定算啊,那么多搞手机群控的,游戏外挂的,不都是这个罪吗。PDD 攻击系统漏洞提权,这跟病毒有啥区别
    royzxq
        89
    royzxq  
       2023-04-04 12:04:42 +08:00
    反正 sh 会保,只能说并夕夕有恃无恐
    K2
        90
    K2  
       2023-04-04 12:08:11 +08:00
    “ 这些人绝大部分被转岗去了拼多多的国际版姊妹应用 Temu” hhh

    我用过 Temu 没用过 pdd 。。还好是 iOS
    uni
        91
    uni  
       2023-04-04 12:23:03 +08:00
    我手机里的谷歌框架这几天一直在让我卸载 pdd 。。。
    Huelse
        92
    Huelse  
       2023-04-04 12:43:22 +08:00
    有上海在撑腰怕啥,就像华尔街卖债券卖出花来也有美联储兜底。
    Leonard
        93
    Leonard  
       2023-04-04 12:52:00 +08:00 via iPhone
    爆出来有什么用,pdd 黑料还少了吗?违法犯罪不处罚,舆论影响都做不到( pdd 有钱,热搜压得太快),知道消息的人多半也不在乎(就算 v 站,过个几天一样到处讨论百亿补贴)
    zhangsimon
        94
    zhangsimon  
       2023-04-04 12:59:33 +08:00
    上海老年得子…
    Lirika
        95
    Lirika  
       2023-04-04 13:25:07 +08:00
    @SomeBodsy #85 跟他有啥关系?
    sunamask
        96
    sunamask  
       2023-04-04 13:26:06 +08:00
    用微信 /支付宝的小程序不行吗?我不懂这行,不知道这么做对不对啊,但是我都是用绿蓝两个超一线 app ,开美团 /点评之类一线 app 的小程序的。

    你可以不信安卓系统,但你一定可以相信国内这些大厂的蛊王。
    hotdogwc
        97
    hotdogwc  
       2023-04-04 13:31:22 +08:00
    @Greenm 热搜忙着锤张继科呢,勿扰,这就是拆 那,我觉得这是一种自信
    hotdogwc
        98
    hotdogwc  
       2023-04-04 13:35:35 +08:00
    @easymbol 前提是“违反国家规定”啊,官方会一直装死到话题被成功转移,就没人提了
    Zero00favor
        99
    Zero00favor  
       2023-04-04 13:54:12 +08:00
    @easymbol 算得咯,前有用模拟定位钉钉打卡工具已经在踩缝纫机了。
    bclerdx
        100
    bclerdx  
       2023-04-04 13:55:15 +08:00
    @decade1024 没办法,毕竟年事已高了,思想与体力大不如年轻的时候了,有被迫害妄想症!
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5512 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 01:29 · PVG 09:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.