拼多多利用安卓漏洞窃取用户数据

查看 118|回复 8
作者:巴豆。   
该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。
b站已有相关案例
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://link.zhihu.com/?target=https%3A//github.com/davinci1010/pinduoduo_backdoor&source=https%3A%2F%2Fwww.zhihu.com%2Fappview%2Fv2%2Fanswer%2F2927765317%3Fcsp%3D90%26q_idx%3D0%26omni%3D1%26sds%3D2%26qa_new_toolbar%3D1%26X-AD%3Dcanvas_version%253Av%253D5.1%253Bsetting%253Acad%253D0%26ad_pv_track%3D1
共有3个附件:
1.screenshot_2023-03-09-20-05-28-641_tv.danmaku.bili.jpg(640.4KB)

漏洞, 互联网

四点八哩   
没用过
未设置昵称   
拼多多的确是挺毒瘤的,清后台后强行停止后过会又看到在继续运行
妖友6941   
嘿嘿,员工个人行为与公司无关!公司已经报警并将相关人员予以开除永不录用,感谢大家对拼多多一如既往的支持!我们会遵纪守法的经营,严厉打击任何损坏用户利益的行为
小鲜肉加油   
有多少人在多多上面填写了身份证号码和真实姓名的?
猪猪侠   
用play版的。
妖友好好记   
不影响使用
梦落红尘   
感谢分享
四点八哩   
它便宜
您需要登录后才可以回帖 登录 | 立即注册

返回顶部