卡巴斯基實錘拼多多App惡意代碼

根據彭博社昨日的報道，卡巴斯基實驗室的安全研究人員證實拼多多 App 包含惡意代碼，此前谷歌已將其從官方應用商店 Play Store 中下架。

在對惡意代碼的首批公開報告之一中，卡巴斯基闡述了該應用程序如何提升自身權限以破壞用戶隱私和數據安全。它測試了通過中國本地應用商店分發的應用版本 —— 包含來自華為、騰訊和小米的應用市場。

卡巴斯基與彭博社分享的調查結果是獨立安全團隊對上周觸發谷歌行動和惡意軟件警告的最清晰解釋之一。這家網絡安全公司在揭露歷史上一些最大的網絡攻擊方面發揮了作用，該公司表示，它發現了早期版本的拼多多利用系統軟件漏洞安裝后門并獲得對用戶數據和通知的未授權訪問的證據。

這些結論在很大程度上與過去幾周其他研究人員在網上發布的結論一致，盡管彭博新聞社尚未證實早期報道的真實性。

目前微博上關于此事的討論已上榜熱搜。

網絡安全專家 @sunwear 也發表了對此事的看法：

除了卡巴斯基實驗室，另外一家安全公司 Lookout 的研究人員對非 Google Play 版本的拼多多應用的分析也確認了獨立安全研究機構 DarkNavy 的指控。初步分析顯示，至少兩個非 Play 版本的拼多多應用利用了漏洞 CVE-2023-20963。

該漏洞是 Google 在 3 月 6 日公開的，利用該漏洞可以提權，而且整個過程不需要用戶交互。兩周前修復補丁才提供給終端用戶。

Lookout 的研究人員分析了拼多多在 3 月 5 日前發布的兩個版本，都包含了利用 CVE-2023-20963 的代碼。這兩個版本都使用了與拼多多 Google Play 版本相同的密鑰簽名。

目前沒有證據表明 Play Store 和蘋果 App Store 的版本含有惡意代碼，但通過第三方市場下載的 Android 用戶則沒有那么幸運了，鑒于拼多多有數億用戶，受影響的用戶數量可能是非常驚人。