研究機構披露某購物平臺利用漏洞，非法獲取競對信息，阻止用戶卸載 APP

近日，研究機構 "DarkNavy" 發文披露某國產 APP 惡意利用系統漏洞，非法提權獲取用戶隱私及爭對手商業信息，遠程遙控用戶設備，并阻止用戶卸載自身 APP。

文章中提到，該 APP 利用 Android 系統的 Parcel 序列化與反序列化不匹配漏洞，能夠實現 0Day/NDay 攻擊，繞過系統校驗，獲取系統級 StartAnyWhere 能力，提升自身權限。

提權控制手機系統之后，該 APP 隨即進行了一系列的非法違規操作，繞過隱私監管規則，開始手機中的用戶隱私信息，包裹 WiFi 信息、位置信息、社交媒賬號資料、基站信息、路由器信息，甚至能夠繞過系統為應用設置的沙箱規則，采集競爭對手軟件的信息。

在此之外，該 APP 還會改寫系統配置文件，實現為自己應用的保活，修改用戶桌面設置隱藏自身 icon，欺騙用戶防止自身被卸載等。最后，該 APP 甚至能夠通過覆蓋動態碼文件來劫持其他應用注入后門執行代碼，實現更加隱蔽的后臺長期保活，并利用 " 云控開關 " 遠程遙控應用非法行為，讓檢測與監管無從下手。

有軟件行業人士發現，解壓 APP 之后就能夠在 asset 中找到 AliveBaseAbility 提權代碼。不過在該新聞發酵之后，購物平臺在更新之后刪除了這段代碼。

許多用戶在知乎平臺反映，該應用會通過漏洞將自己圖標替換成 widget（桌面小組件），刪除或隱藏（通過變透明 、偽裝成天氣應用等）應用 icon，以此逃避卸載，也有用戶發現，在桌面長按 icon 觸發的次級菜單中，該應用能夠刪除系統級別的卸載按鈕。

據悉，Android 13 中已經修復了 Pa0rcel 機制漏洞，能夠杜絕絕大部分此類黑客攻擊。不過鴻蒙和未升級到 Android 13 的設備用戶，仍然處于被該漏洞攻擊的危險之中。