V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zx4824
V2EX  ›  Android

2022 年最“不可赦”漏洞,pdd 反序列化违规提权(深蓝洞察)

  •  
  •   zx4824 · 2023-03-14 22:29:48 +08:00 · 9573 次点击
    这是一个创建于 656 天前的主题,其中的信息可能已经有所发展或是发生改变。
    近日,据南方日报报道,国内知名独立数据安全研究服务机构深蓝 DarkNavy 日前发布一则报告称,有知名互联网厂商通过挖掘安卓厂商 OEM 代码中的反序列化漏洞攻击用户手机,窃取竞争对手软件数据,以防止自身被卸载。

    一石激起千层浪,消息随后被各路大牛和广大网友热议。通过仔细对比和验证,网友发现该软件竟然是拼多多。而其利用的则是 Android 系统的漏洞。

    DarkNavy 将这个漏洞称为「 2022 年度最“不可赦”漏洞」,并将其刊登在了《 2022 年度十大安全漏洞与利用》报告的第十篇。

    说实话要找到完整的漏洞提权方法并实现,不是一件容易的事,但拼多多做到了。

    为此,DarkNavy 报告和不少开源社区都追溯并还原了拼多多的具体操作。首先拼多多利用了多个手机厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,拼多多即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息,包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等。

    来源: https://www.chiphell.com/thread-2501143-1-1.html
    ericshehong
        1
    ericshehong  
       2023-03-15 11:18:43 +08:00
    拼多多真是够够了
    fat00119
        2
    fat00119  
       2023-03-15 18:33:36 +08:00 via Android
    X:/⇥MhvJKEwvGEx8c⇤ 复制并打开拼多多 APP ,549 元购买百亿补贴 [3 人团] 七彩虹 2TB SSD 固态硬盘 M.2 接口 nvme 协议 CF600 镭风系列,仅剩 2 个名额
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2522 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:33 · PVG 23:33 · LAX 07:33 · JFK 10:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.