Yoo趣儿 › 探索分享 › 分享发现 › 拼多多利用安卓漏洞窃取用户数据

拼多多利用安卓漏洞窃取用户数据

查看 117|回复 8

作者：巴豆。发布时间：2023-3-9 20:21:11

该互联网厂商在自家看似无害的 App 里，使用的第一个黑客技术手段，是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞，实现 0day/Nday 攻击，从而绕过系统校验，获取系统级 StartAnyWhere 能力。
b站已有相关案例
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
https://link.zhihu.com/?target=https%3A//github.com/davinci1010/pinduoduo_backdoor&source=https%3A%2F%2Fwww.zhihu.com%2Fappview%2Fv2%2Fanswer%2F2927765317%3Fcsp%3D90%26q_idx%3D0%26omni%3D1%26sds%3D2%26qa_new_toolbar%3D1%26X-AD%3Dcanvas_version%253Av%253D5.1%253Bsetting%253Acad%253D0%26ad_pv_track%3D1
共有3个附件:
1.screenshot_2023-03-09-20-05-28-641_tv.danmaku.bili.jpg(640.4KB)

漏洞, 互联网

相关帖子

四点八哩 2023-3-9 20:21:51

没用过

未设置昵称 2023-3-9 20:22:21

拼多多的确是挺毒瘤的，清后台后强行停止后过会又看到在继续运行

妖友6941 2023-3-9 20:23:13

嘿嘿，员工个人行为与公司无关！公司已经报警并将相关人员予以开除永不录用，感谢大家对拼多多一如既往的支持！我们会遵纪守法的经营，严厉打击任何损坏用户利益的行为

小鲜肉加油 2023-3-9 20:24:01

有多少人在多多上面填写了身份证号码和真实姓名的？

猪猪侠 2023-3-9 20:24:44

用play版的。

妖友好好记 2023-3-9 20:25:23

不影响使用

梦落红尘 2023-3-9 20:26:22

感谢分享

四点八哩 2023-3-9 20:27:02

它便宜

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息 Python PHP Java JavaScript Node.js Go语言 C++HTML

公告

返回顶部